管理 OS 政策指派

建立 OS 政策指派項目後，請按照下列程序查看及管理指派項目：

• 更新 OS 政策指派作業：修改 OS 政策指派作業的設定
• 描述 OS 政策指派作業：取得特定 OS 政策指派作業的詳細資料
• 列出 OS 政策指派作業：查看特定區域中的 OS 政策指派作業清單
• 列出 OS 政策指派作業修訂版本：查看特定 OS 政策指派作業可用的修訂版本清單
• 刪除 OS 政策指派作業：刪除特定 OS 政策指派作業
• 偵錯 OS 政策指派作業：排解 OS 政策指派作業問題

您可以透過 Trusted Cloud 控制台、Google Cloud CLI 或 OS Config API 管理 OS 政策指派作業。

事前準備

• 查看 OS 設定配額。
• 如果尚未設定驗證，請先完成設定。 「驗證」是指驗證身分的程序，確認您有權存取 Trusted Cloud by S3NS 服務和 API。如要從本機開發環境執行程式碼或範例，請選取下列任一選項，向 Compute Engine 進行驗證：
  

  Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

  gcloud

  1. 安裝 Google Cloud CLI，然後 使用同盟身分登入 gcloud CLI。 登入後，執行下列指令初始化 Google Cloud CLI：

     gcloud init

  2. Set a default region and zone.

  REST

  如要在本機開發環境中使用本頁的 REST API 範例，請使用您提供給 gcloud CLI 的憑證。

  安裝 Google Cloud CLI，然後 使用同盟身分登入 gcloud CLI。 登入後，執行下列指令初始化 Google Cloud CLI：

  gcloud init

  詳情請參閱 Trusted Cloud 驗證說明文件中的「Authenticate for using REST」。

權限

專案擁有者有完整的管理權限，可管理 OS 政策指派作業。 如要授予其他使用者權限，如要管理 OS 政策指派作業，您可以授予下列其中一個精細角色：

• OSPolicyAssignment 管理員 (roles/osconfig.osPolicyAssignmentAdmin)。 包含建立、刪除、更新、取得及列出 OS 政策指派作業的權限。
• OSPolicyAssignment 編輯者 (roles/osconfig.osPolicyAssignmentEditor)。 包含更新、取得及列出 OS 政策指派作業的權限。
• OSPolicyAssignment 檢視者 (roles/osconfig.osPolicyAssignmentViewer)。 包含唯讀存取權，可取得及列出 OS 政策指派作業。

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member user:USER_ID@gmail.com \
        --role roles/osconfig.osPolicyAssignmentAdmin

更新 OS 政策指派作業

如要更新 OS 政策指派項目，請完成下列步驟：

1. 更新含有 OS 政策指派作業的 YAML 或 JSON 檔案。

   更新要求支援欄位遮罩。您可能只需要更新 OS 政策指派作業中的特定欄位，其他欄位則保持不變。更新或修補程式指令會使用欄位遮罩，告知 API 哪些欄位已變更。更新或修補要求會忽略欄位遮罩中未指定的任何欄位，並保留這些欄位的目前值。如要進一步瞭解欄位遮罩，請參閱 FieldMask。

2. 使用 Trusted Cloud 控制台、Google Cloud CLI 或 OS Config API 更新 OS 政策指派作業。

   更新 OS 政策指派作業時，系統會建立推出作業。您可以監控推出作業，查看更新進度。詳情請參閱「取得推出作業的詳細資料」。

   主控台

   1. 在 Trusted Cloud 控制台中，前往「OS policies」>「Assignments」頁面。

      前往 Trusted Cloud 控制台

   2. 找出要編輯的 OS 政策指派項目，然後依序點選「動作」圖示 more_vert>「編輯指派項目」。

   3. 視需要更新。例如，您可以上傳更新後的 OS 政策檔案。

   4. 按一下「開始推出」。

   gcloud

   使用 os-config os-policy-assignments update 指令更新 OS 政策指派項目。

   gcloud compute os-config os-policy-assignments update OS_POLICY_ASSIGNMENT_ID \
       --location=ZONE \
       --file=FILE
   

   更改下列內容：

   • OS_POLICY_ASSIGNMENT_ID：要更新的 OS 政策指派項目名稱
   • ZONE：OS 政策指派作業所在的可用區

   • FILE：JSON 或 YAML 檔案的絕對路徑，內含更新的 OS 政策指派規格

     如果作業系統政策指派不存在，且您指定 --allow-missing 旗標，VM 管理工具會使用指定的 ID 和規格建立作業系統政策指派。

   REST

   在 API 中，建立目標為 projects.locations.osPolicyAssignments.patch 方法的 PATCH 要求。

   PATCH https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID
   
   {
    JSON_OS_POLICY
   }
   

   更改下列內容：

   • PROJECT_ID：您的專案 ID
   • OS_POLICY_ASSIGNMENT_ID：要更新的 OS 政策指派項目名稱
   • JSON_OS_POLICY：在上一個步驟中建立的 OS 政策指派作業規格。必須採用 JSON 格式。 如要進一步瞭解參數和格式，請參閱 Resource: OSPolicyAssignment。
   • ZONE：OS 政策指派作業所在的可用區

列出 OS 政策指派作業

 gcloud compute os-config os-policy-assignments list \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments

描述 OS 政策指派作業

gcloud compute os-config os-policy-assignments describe OS_POLICY_ASSIGNMENT_ID \
     --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

列出 OS 政策指派作業修訂版本

gcloud compute os-config os-policy-assignments list-revisions OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

GET https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID:listRevisions

刪除 OS 政策指派作業

刪除 OS 政策指派作業時，系統會建立推出作業。您可以監控推出作業，查看刪除進度。詳情請參閱「取得推出作業的詳細資料」。

gcloud compute os-config os-policy-assignments delete OS_POLICY_ASSIGNMENT_ID \
    --location=ZONE

DELETE https://osconfig.googleapis.com/v1/projects/PROJECT_ID/locations/ZONE/osPolicyAssignments/OS_POLICY_ASSIGNMENT_ID

疑難排解

如要排解 OS 政策指派作業問題，請參閱「排解 VM 管理員問題」。

後續步驟

• 進一步瞭解 OS 政策。
• 建立 OS 政策指派作業。