Faça a gestão das atribuições de políticas do SO através do orquestrador de políticas

Esta página descreve como usar a funcionalidade de orquestração de políticas no VM Manager para criar, atualizar ou eliminar recursos de políticas de SO em diferentes projetos e zonas nas suas pastas ou organização.

Antes de começar

  • Reveja a política do SO e a atribuição da política do SO.
  • Reveja as quotas de configuração do SO.
  • Certifique-se de que cumpre os pré-requisitos para usar o orquestrador de políticas.
  • Se ainda não o tiver feito, configure a autenticação. A autenticação valida a sua identidade para aceder a Trusted Cloud by S3NS serviços e APIs. Para executar código ou exemplos a partir de um ambiente de desenvolvimento local, pode autenticar-se no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    1. Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init
    2. Set a default region and zone.

    REST

    Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

      Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init

    Para mais informações, consulte o artigo Autenticar para usar REST na Trusted Cloud documentação de autenticação.

Crie ou atualize atribuições de políticas do SO em projetos e zonas

Pode criar orquestradores de políticas para aplicar políticas de SO a recursos selecionados num projeto, numa pasta ou numa organização.

Consola

Para criar um orquestrador de políticas e aplicar atribuições de políticas do SO numa pasta, faça o seguinte:

  1. No cliente local, crie ou transfira um ficheiro de política do SO. Este ficheiro tem de ser um ficheiro JSON ou YAML. Para mais informações sobre a criação de políticas de SO ou para ver exemplos de políticas de SO, consulte o artigo Políticas de SO.

  2. Na Trusted Cloud consola, aceda à página Políticas de SO.

    Aceda às políticas de SO

  3. Clique no seletor de projetos na barra de ações da Trusted Cloud consola e selecione o projeto, a pasta ou a organização na qual quer criar o orquestrador de políticas.

  4. Clique em Criar global.

  5. Especifique um nome e uma descrição para o orquestrador de políticas. Consulte a Convenção de nomenclatura de recursos. O VM Manager atribui um ID do orquestrador exclusivo ao orquestrador de políticas. Pode editar este ID, se necessário.

  6. Na secção Políticas de SO, carregue o ficheiro de políticas de SO.

  7. Opcional: na secção Estado, selecione uma das seguintes opções para especificar o comportamento do orquestrador de políticas:

    • ACTIVE: depois de criada, o orquestrador de políticas toma medidas imediatamente.
    • STOPPED: um orquestrador de políticas criado neste estado não toma medidas imediatamente. Pode editar o orquestrador de políticas mais tarde para alterar o respetivo estado.

  8. No campo Ação, selecione a ação UPSERT.

  9. Na secção Âmbito da orquestração, especifique as pastas e os projetos nos quais quer implementar as políticas de SO. Só deve introduzir os números dos projetos e das pastas nestes campos, por exemplo, 123456,7654321.

  10. Selecione as zonas que contêm as VMs às quais quer aplicar as políticas de SO. Em alternativa, clique em Selecionar tudo para aplicar as alterações à política de SO aos recursos em todas as zonas.

  11. Opcional: na secção Segmentar instâncias de VMs, especifique as VMs de destino às quais quer aplicar as políticas de SO.

    • Selecione as famílias de SO.

    • Pode filtrar ainda mais as VMs especificando etiquetas de inclusão e exclusão.

      Por exemplo, pode selecionar todas as VMs Ubuntu no seu ambiente de teste e excluir as que estão a executar o Google Kubernetes Engine, especificando o seguinte:

      • Família de SO: ubuntu
      • Incluir: env:test, env:staging
      • Excluir: goog-gke-node

  12. Especifique um plano de implementação para a atribuição de políticas do SO.

    • Especifique o tamanho da onda (também conhecido como orçamento de interrupção). Por exemplo, 10%.
    • Especifique o tempo de espera. Por exemplo, 15 minutos.

  13. Clique em Criar.

gcloud

Para criar um orquestrador de políticas, conclua os seguintes passos:

  1. Crie ou transfira um recurso de atribuição de política de SO no formato JSON ou YAML. Para mais informações acerca deste ficheiro e exemplos de atribuições de políticas, consulte o artigo Atribuições de políticas do SO.

  2. Use o comando os-config policy-orchestrators create para criar e implementar a atribuição da política do SO no âmbito especificado.

Projeto 

  gcloud compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
    --policy-type=os_policy_assignment_v1 \
    --policy-file=OS_POLICY_ASSIGNMENT_YAML_FILE \
    --policy-id=POLICY_ID

Substitua o seguinte:

  • ORCHESTRATOR_NAME: nome do orquestrador de políticas. Consulte a Convenção de nomenclatura de recursos.
  • OS_POLICY_ASSIGNMENT_FILE: o caminho absoluto para o ficheiro de atribuição de políticas do SO que criou no passo anterior.
  • POLICY_ID: um ID exclusivo para o orquestrador de políticas. Se não especificar um valor, o orquestrador de políticas atribui um ID exclusivo ao recurso do orquestrador.

Exemplo

  gcloud compute os-config policy-orchestrators create my-os-policy-orchestrator \
      --policy-type=os_policy_assignment_v1 \
      --policy-file=/downloads/assignment-config.yaml \
      --policy-id=policy-123

Pasta 

  gcloud --billing-project=QUOTA_PROJECT_ID compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
    --folder=FOLDER_NUMBER \
    --policy-type=os_policy_assignment_v1 \
    --policy-file=OS_POLICY_ASSIGNMENT_YAML_FILE \
    --policy-id=POLICY_ID \
    --include-projects=PROJECT_NUMBERS

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto da quota ou do projeto de faturação.
  • ORCHESTRATOR_NAME: nome do orquestrador de políticas. Consulte a Convenção de nomenclatura de recursos.
  • FOLDER_NUMBER: o número da pasta da pasta na qual quer criar o orquestrador de políticas.
  • OS_POLICY_ASSIGNMENT_FILE: o caminho absoluto para o ficheiro de atribuição de políticas do SO que criou no passo anterior.
  • POLICY_ID: um ID exclusivo para o orquestrador de políticas. Se não especificar um valor, o orquestrador de políticas atribui um ID exclusivo ao recurso do orquestrador.
  • PROJECT_NUMBERS: uma lista de projetos aos quais quer aplicar as atribuições de políticas do SO. Tem de especificar os números dos projetos, o ID numérico exclusivo dos projetos.

Exemplo

  gcloud --billing-project=my-quota-project compute os-config policy-orchestrators create my-os-policy-orchestrator \
      --folder=123456 \
      --policy-type=os_policy_assignment_v1 \
      --policy-file=/downloads/assignment-config.yaml \
      --policy-id=policy-123 \
      --include-projects=87654321,4567890

Organização 

  gcloud --billing-project=QUOTA_PROJECT_ID compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
    --organization=ORGANIZATION_NUMBER \
    --policy-type=os_policy_assignment_v1 \
    --policy-file=OS_POLICY_ASSIGNMENT_YAML_FILE \
    --policy-id=POLICY_ID \
    --include-projects=PROJECT_NUMBERS

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto da quota ou do projeto de faturação.
  • ORCHESTRATOR_NAME: nome do orquestrador de políticas. Consulte a Convenção de nomenclatura de recursos.
  • FOLDER_NUMBER: o número da pasta da pasta na qual quer criar o orquestrador de políticas.
  • OS_POLICY_ASSIGNMENT_FILE: o caminho absoluto para o ficheiro de atribuição de políticas do SO que criou no passo anterior.
  • POLICY_ID: um ID exclusivo para o orquestrador de políticas. Se não especificar um valor, o orquestrador de políticas atribui um ID exclusivo ao recurso do orquestrador.
  • PROJECT_NUMBERS: uma lista de projetos aos quais quer aplicar as atribuições de políticas do SO. Tem de especificar os números dos projetos, o ID numérico exclusivo dos projetos.

Exemplo

  gcloud --billing-project=my-quota-project compute os-config policy-orchestrators create my-os-policy-orchestrator \
      --organization=123456 \
      --policy-type=os_policy_assignment_v1 \
      --policy-file=/downloads/assignment-config.yaml \
      --policy-id=policy-123 \
      --include-projects=87654321,4567890

REST

Para criar um orquestrador de políticas, conclua os seguintes passos:

  1. Crie ou transfira um ficheiro de atribuição de políticas do SO. Tem de ser um ficheiro JSON. Para mais informações sobre a criação de atribuições de políticas do SO ou para ver exemplos de atribuições de políticas do SO, consulte o artigo Atribuição de políticas do SO.

  2. Consoante o âmbito em que está a criar o orquestrador de políticas, use um dos seguintes métodos:

Projeto

Envie um pedido POST para o método projects.locations.global.policyOrchestrators.create.

No corpo do pedido, cole as especificações de atribuição da política do SO do passo anterior.

POST https://osconfig.googleapis.com/v2/projects/PROJECT_NUMBER/locations/global/policyOrchestrators

  {
      JSON_OS_POLICY_ORCHESTRATOR
  }

Substitua o seguinte:

  • PROJECT_NUMBER: o ID numérico do projeto no qual quer criar o orquestrador de políticas.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: folders.locations.global.policyOrchestrators.

Exemplo

Por exemplo, para criar uma atribuição de política de SO que instale um MSI do Windows transferido de um contentor do Cloud Storage através da atribuição de política de SO de exemplo, conclua os seguintes passos:

  1. Converta o exemplo em JSON

  2. Faça o seguinte pedido:

    POST https://osconfig.googleapis.com/v2/projects/123456/locations/global/policyOrchestrators

{
"action": "UPSERT",
"orchestratedResource": {
  "osPolicyAssignmentV1Payload": {
    "instanceFilter": {
      "inventories": [
        {
          "osShortName": "windows"
        }
      ]
    },
    "osPolicies": [
    {
      "id": "install-msi-policy",
      "mode": "ENFORCEMENT",
      "resourceGroups": [
        {
          "resources": [
            {
              "id": "install-msi",
              "pkg": {
                "desiredState": "INSTALLED",
                "msi": {
                  "source": {
                    "gcs": {
                      "bucket": "my-bucket",
                      "generation": "1619136883923956",
                      "object": "my-app.msi"
                    }
                  }
                }
              }
            }
          ]
        }
      ]
    }
    ],
    "rollout": {
      "disruptionBudget": {
        "fixed": 10
      },
      "minWaitDuration": "300s"
    }
  }
},
"orchestrationScope": {
"selectors": [
  {
     "resourceHierarchySelector": {
        "includedProjects": [
        "projects/87654321",
        "projects/4567890"
        ]
      }
    }
  ]
},
"state": "ACTIVE"
}

Pasta

Envie um pedido POST para o método folders.locations.global.policyOrchestrators.create.

No corpo do pedido, cole as especificações de atribuição da política do SO do passo anterior.

POST https://osconfig.googleapis.com/v2/folders/FOLDER_NUMBER/locations/global/policyOrchestrators
-H "x-goog-user-project: QUOTA_PROJECT_ID"

{
  JSON_OS_POLICY_ORCHESTRATOR
}

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • FOLDER_NUMBER: o ID numérico da pasta na qual quer criar o orquestrador de políticas.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: folders.locations.global.policyOrchestrators.

Exemplo

Por exemplo, para criar uma atribuição de política de SO que instale um MSI do Windows transferido de um contentor do Cloud Storage através da atribuição de política de SO de exemplo, conclua os seguintes passos:

  1. Converta o exemplo em JSON

  2. Faça o seguinte pedido:

    POST https://osconfig.googleapis.com/v2/folders/123456/locations/global/policyOrchestrators \
-H "x-goog-user-project: my-quota-project

{
"action": "UPSERT",
"orchestratedResource": {
  "osPolicyAssignmentV1Payload": {
    "instanceFilter": {
      "inventories": [
        {
          "osShortName": "windows"
        }
      ]
    },
    "osPolicies": [
    {
      "id": "install-msi-policy",
      "mode": "ENFORCEMENT",
      "resourceGroups": [
        {
          "resources": [
            {
              "id": "install-msi",
              "pkg": {
                "desiredState": "INSTALLED",
                "msi": {
                  "source": {
                    "gcs": {
                      "bucket": "my-bucket",
                      "generation": "1619136883923956",
                      "object": "my-app.msi"
                    }
                  }
                }
              }
            }
          ]
        }
      ]
    }
    ],
    "rollout": {
      "disruptionBudget": {
        "fixed": 10
      },
      "minWaitDuration": "300s"
    }
  }
},
"orchestrationScope": {
"selectors": [
  {
     "resourceHierarchySelector": {
        "includedProjects": [
        "projects/87654321",
        "projects/4567890"
        ]
      }
    }
  ]
},
"state": "ACTIVE"
}

Organização

Envie um pedido POST para o método organizations.locations.global.policyOrchestrators.create.

No corpo do pedido, cole as especificações de atribuição da política do SO do passo anterior.

POST https://osconfig.googleapis.com/v2/organizations/ORGANIZATION_NUMBER/locations/global/policyOrchestrators \
-H "x-goog-user-project: QUOTA_PROJECT_ID"

  {
      JSON_OS_POLICY_ORCHESTRATOR
  }

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • ORGANIZATION_NUMBER: o ID numérico da organização na qual quer criar o orquestrador de políticas.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: organizations.locations.global.policyOrchestrators.

Exemplo

Por exemplo, para criar uma atribuição de política de SO que instale um MSI do Windows transferido de um contentor do Cloud Storage através da atribuição de política de SO de exemplo, conclua os seguintes passos:

  1. Converta o exemplo em JSON

  2. Faça o seguinte pedido:

    POST https://osconfig.googleapis.com/v2/organizations/567890/locations/global/policyOrchestrators \
-H "x-goog-user-project: my-quota-project
{
"action": "UPSERT",
"orchestratedResource": {
  "osPolicyAssignmentV1Payload": {
    "instanceFilter": {
      "inventories": [
        {
          "osShortName": "windows"
        }
      ]
    },
    "osPolicies": [
    {
      "id": "install-msi-policy",
      "mode": "ENFORCEMENT",
      "resourceGroups": [
        {
          "resources": [
            {
              "id": "install-msi",
              "pkg": {
                "desiredState": "INSTALLED",
                "msi": {
                  "source": {
                    "gcs": {
                      "bucket": "my-bucket",
                      "generation": "1619136883923956",
                      "object": "my-app.msi"
                    }
                  }
                }
              }
            }
          ]
        }
      ]
    }
    ],
    "rollout": {
      "disruptionBudget": {
        "fixed": 10
      },
      "minWaitDuration": "300s"
    }
  }
},
"orchestrationScope": {
"selectors": [
  {
     "resourceHierarchySelector": {
        "includedProjects": [
        "projects/87654321",
        "projects/4567890"
        ]
      }
    }
  ]
},
"state": "ACTIVE"
}

Elimine atribuições de políticas de SO de vários projetos

Pode usar o orquestrador de políticas para eliminar políticas de SO de vários projetos na sua pasta ou organização, especificando o ID da política exclusivo para o recurso de política de SO.

Consola

Para eliminar políticas de SO numa pasta, faça o seguinte:

  1. No cliente local, crie ou transfira um ficheiro de política do SO. Este ficheiro tem de ser um ficheiro JSON ou YAML. Para mais informações sobre a criação de políticas de SO ou para ver exemplos de políticas de SO, consulte o artigo Políticas de SO.

  2. Na Trusted Cloud consola, aceda à página Políticas de SO.

    Aceda às políticas de SO

  3. Clique no seletor de projetos na barra de ações da Trusted Cloud consola e selecione o projeto, a pasta ou a organização na qual quer criar o orquestrador de políticas.

  4. Clique em Criar global

  5. Especifique um nome e uma descrição para o orquestrador de políticas. Consulte a Convenção de nomenclatura de recursos. O VM Manager atribui um ID do orquestrador exclusivo ao orquestrador de políticas. Pode editar este ID, se necessário.

  6. Na secção Políticas de SO, selecione e carregue o ficheiro de política de SO.

  7. Opcional: na secção Estado, selecione uma das seguintes opções para especificar o comportamento do orquestrador de políticas:

    • ACTIVE: depois de criada, o orquestrador de políticas toma medidas imediatamente.
    • STOPPED: um orquestrador de políticas criado neste estado não toma medidas imediatamente. Pode editar o orquestrador de políticas mais tarde para alterar o respetivo estado.

  8. No campo Ação, selecione a ação ELIMINAR.

  9. Na secção Âmbito da orquestração, especifique as pastas e os projetos nos quais quer implementar as políticas de SO. Só deve introduzir os números dos projetos e das pastas nestes campos, por exemplo, 123456,7654321.

  10. Selecione as zonas que contêm as VMs às quais quer aplicar as políticas de SO.

  11. Opcional: na secção Segmentar instâncias de VMs, especifique as VMs de destino às quais quer aplicar as políticas de SO.

    • Selecione as famílias de SO.

    • Pode filtrar ainda mais as VMs especificando etiquetas de inclusão e exclusão.

      Por exemplo, pode selecionar todas as VMs Ubuntu no seu ambiente de teste e excluir as que estão a executar o Google Kubernetes Engine, especificando o seguinte:

      • Família de SO: ubuntu
      • Incluir: env:test, env:staging
      • Excluir: goog-gke-node

  12. Especifique um plano de implementação para a atribuição de políticas do SO.

    • Especifique o tamanho da onda (também conhecido como orçamento de interrupção). Por exemplo, 10%.
    • Especifique o tempo de espera. Por exemplo, 15 minutos.

  13. Clique em Criar.

gcloud

Para eliminar políticas de SO de vários projetos através de um orquestrador de políticas, use o comando os-config policy-orchestrators create e especifique a ação como delete para o policy-id associado à atribuição da política de SO.

Projeto 

  gcloud compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
    --policy-type=os_policy_assignment_v1 \
    --policy-file=OS_POLICY_ASSIGNMENT_FILE \
    --policy-id=POLICY_ID \
    --action=delete

Substitua o seguinte:

  • ORCHESTRATOR_NAME: nome do orquestrador de políticas.
  • OS_POLICY_ASSIGNMENT_FILE: o caminho absoluto para o ficheiro de atribuição da política do SO.
  • POLICY_ID: o ID da política para o recurso do orquestrador de políticas do SO.

Exemplo

 gcloud compute os-config policy-orchestrators create my-os-policy-orchestrator \
   --policy-type=os_policy_assignment_v1
   --policy-id=my-policy \
   --action=delete

Pasta 

  gcloud --billing-project=QUOTA_PROJECT_ID compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
    --policy-type=os_policy_assignment_v1 \
    --policy-id=POLICY_ID \
    --action=delete

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • ORCHESTRATOR_NAME: nome do orquestrador de políticas.
  • FOLDER_NUMBER: o ID numérico da pasta a partir da qual quer eliminar os recursos da política do SO.
  • POLICY_ID: o ID da política para o recurso do orquestrador de políticas do SO.

Exemplo

gcloud --billing-project=my-quota-project compute os-config policy-orchestrators create my-os-policy-orchestrator \
  --folder=123456 \
  --policy-type=os_policy_assignment_v1 \
  --policy-id=my-policy \
  --action=delete

Organização 

gcloud --billing-project=QUOTA_PROJECT_ID compute os-config policy-orchestrators create ORCHESTRATOR_NAME \
  --organization=ORGANIZATION_NUMBER \
  --policy-type=os_policy_assignment_v1 \
  --policy-id=POLICY_ID \
  --action=delete

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • ORCHESTRATOR_NAME: nome do orquestrador de políticas.
  • ORGANIZATION_NUMBER: o ID numérico da organização da qual quer eliminar os recursos da política de SO.
  • POLICY_ID: o ID da política para o recurso do orquestrador de políticas do SO.

Exemplo

gcloud --billing-project=my-quota-project compute os-config policy-orchestrators create my-os-policy-orchestrator \
  --organization=987654321
  --policy-type=os_policy_assignment_v1
  --policy-id=my-policy \
  --action=delete

REST

Para criar um orquestrador de políticas que elimine políticas do SO de vários projetos, use um dos seguintes métodos e especifique a ação como DELETE:

Projeto

Envie um pedido POST para o método projects.locations.global.policyOrchestrators.create.

No corpo do pedido, especifique o ID da política associado à atribuição da política do SO.

POST https://osconfig.googleapis.com/v2/projects/PROJECT_NUMBER/locations/global/policyOrchestrators

  {
      JSON_OS_POLICY_ORCHESTRATOR
  }

Substitua o seguinte:

  • PROJECT_NUMBER: o ID numérico do projeto no qual quer criar o orquestrador de políticas.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: folders.locations.global.policyOrchestrators.

Exemplo

POST https://osconfig.googleapis.com/v2/projects/567890/locations/global/policyOrchestrators

{
    "action": "DELETE",
    "orchestratedResource": {
      "id": "my-policy",
      "osPolicyAssignmentV1Payload": {}
    },
    "orchestrationScope": {
      "selectors": [
        {
          "resourceHierarchySelector": {
            "includedProjects": [
              "projects/87654321",
              "projects/4567890"
            ]
          }
        }
      ]
    },
    "state": "ACTIVE"
  }

Pasta

Envie um pedido POST para o método folders.locations.global.policyOrchestrators.create.

No corpo do pedido, especifique o ID da política associado à atribuição da política do SO.

POST https://osconfig.googleapis.com/v2/folders/FOLDER_NUMBER/locations/global/policyOrchestrators
-H "x-goog-user-project: QUOTA_PROJECT_ID"

{
  JSON_OS_POLICY_ORCHESTRATOR
}

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • FOLDER_NUMBER: o ID numérico da pasta a partir da qual quer eliminar os recursos da política do SO.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o ID da política, o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: folders.locations.global.policyOrchestrators.

Exemplo

Por exemplo, para eliminar recursos da política de SO de vários projetos, faça o seguinte pedido:

 POST https://osconfig.googleapis.com/v2/folders/567890/locations/global/policyOrchestrators
 -H "x-goog-user-project: my-quota-project

 {
    "action": "DELETE",
    "orchestratedResource": {
      "id": "my-policy",
      "osPolicyAssignmentV1Payload": {}
    },
    "orchestrationScope": {
      "selectors": [
        {
          "resourceHierarchySelector": {
            "includedProjects": [
              "projects/87654321",
              "projects/4567890"
            ]
          }
        }
      ]
    },
    "state": "ACTIVE"
  }

Organização

Envie um pedido POST para o método organizations.locations.global.policyOrchestrators.create.

No corpo do pedido, especifique o ID da política associado à atribuição da política do SO.

POST https://osconfig.googleapis.com/v2/organizations/ORGANIZATION_NUMBER/locations/global/policyOrchestrators
-H "x-goog-user-project: QUOTA_PROJECT_ID"

{
  JSON_OS_POLICY_ORCHESTRATOR
}

Substitua o seguinte:

  • QUOTA_PROJECT_ID: o ID do projeto de quota ou do projeto de faturação.
  • ORGANIZATION_NUMBER: o ID numérico da organização da qual quer eliminar os recursos da política de SO.
  • JSON_OS_POLICY_ORCHESTRATOR: o objeto do orquestrador de políticas no formato JSON que define o ID da política, o âmbito do orquestrador, o recurso orquestrado e o estado de orquestração. Para mais informações sobre os parâmetros e o formato, consulte Resource: organizations.locations.global.policyOrchestrators.

Exemplo

Por exemplo, para eliminar recursos da política de SO de vários projetos, envie o seguinte pedido:

POST https://osconfig.googleapis.com/v2/organizations/567890/locations/global/policyOrchestrators
-H "x-goog-user-project: my-quota-project

{
    "action": "DELETE",
    "orchestratedResource": {
      "id": "my-policy",
      "osPolicyAssignmentV1Payload": {}
    },
    "orchestrationScope": {
      "selectors": [
        {
          "resourceHierarchySelector": {
            "includedProjects": [
              "projects/87654321",
              "projects/4567890"
            ]
          }
        }
      ]
    },
    "state": "ACTIVE"
  }

O que se segue?