Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Aplique atualizações de carga de trabalho

Esta página descreve como ativar, ver e aplicar atualizações de cargas de trabalho para pastas do Assured Workloads. O Assured Workloads atualiza regularmente os respetivos pacotes de controlos com novas definições e melhorias gerais, como valores de restrições da política de organização atualizados. Esta funcionalidade permite-lhe avaliar a configuração atual da pasta do Assured Workloads em comparação com a configuração mais recente disponível e optar por aplicar as atualizações propostas.

Por predefinição, esta funcionalidade é ativada automaticamente para novas pastas Assured Workloads. Para pastas existentes, recomendamos vivamente que siga os passos para ativar as atualizações da carga de trabalho.

Esta funcionalidade não acarreta custos adicionais nem afeta o comportamento da monitorização do Assured Workloads; continua a receber alertas quando a sua pasta não estiver em conformidade com a respetiva configuração atual, independentemente de estarem disponíveis atualizações à configuração.

Vista geral das atualizações da carga de trabalho

Quando cria uma nova pasta do Assured Workloads, o tipo de pacote de controlo que seleciona, como o FedRAMP Moderate, determina as várias definições de configuração que são aplicadas na sua carga de trabalho. Algumas destas definições são visíveis externamente sob a forma de restrições da política da organização, embora outras sejam aplicáveis apenas aos sistemas internos da Google. O Assured Workloads usa um sistema de controlo de versões de configuração interno para manter as alterações de cada tipo de pacote de controlos.

Quando fica disponível uma nova versão de configuração interna, o Assured Workloads compara a configuração da sua carga de trabalho com a nova versão interna. As diferenças são analisadas e as melhorias resultantes ficam disponíveis como uma atualização que pode aplicar à configuração da sua carga de trabalho.

As atualizações disponíveis do Assured Workloads foram validadas pela Google para estarem em conformidade com os requisitos do pacote de controlos da sua carga de trabalho. No entanto, continua a ser da sua responsabilidade rever cada atualização disponível para verificar se cumpre os requisitos regulamentares ou de conformidade da sua organização. Consulte o artigo Responsabilidade partilhada nos Assured Workloads para mais informações.

Tipos de atualizações suportados

Esta funcionalidade suporta a visualização e a aplicação dos seguintes tipos de atualizações numa pasta do Assured Workloads:

Restrições da política da organização: quaisquer restrições da política da organização que sejam aplicáveis à sua carga de trabalho e aplicadas pelo Assured Workloads podem ser incluídas numa atualização da carga de trabalho, com as seguintes exceções:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Nota: as atualizações do gcp.restrictServiceUsage estão disponíveis na Google Cloud consola, mas não estão disponíveis quando usa a API Assured Workloads. Por exemplo, não recebe atualizações gcp.restrictServiceUsage quando chama o método updates, conforme descrito na secção Veja atualizações de carga de trabalho.

Antes de começar

Identifique os IDs dos recursos das pastas do Assured Workloads para as quais quer ativar as atualizações.
Atribua ou valide autorizações de IAM nas pastas e cargas de trabalho do Assured Workloads de destino.

Autorizações de IAM necessárias

Para ativar, ver ou aplicar atualizações de cargas de trabalho, o autor da chamada tem de ter autorizações do IAM concedidas através de uma função predefinida que inclua um conjunto mais amplo de autorizações ou uma função personalizada restrita às autorizações mínimas necessárias. Tenha em atenção que a orgpolicy.policy.setautorização necessária não está disponível para utilização em funções personalizadas.

As seguintes autorizações são necessárias:

assuredworkloads.workload.update na carga de trabalho de destino para ativar as atualizações. Esta autorização está incluída nas funções predefinidas de Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list na carga de trabalho de destino para ver as atualizações disponíveis. Esta autorização está incluída nas funções predefinidas Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor)> e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.update na carga de trabalho de destino para aplicar as atualizações disponíveis. Esta autorização está incluída nas funções predefinidas de Editor do Assured Workloads (roles/assuredworkloads.editor), e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.operations.get na carga de trabalho de destino para obter o estado e os resultados de uma operação de atualização. Esta autorização está incluída nas funções predefinidas Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor)> e Administrador do Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get na pasta de destino para aplicar as atualizações disponíveis. Esta autorização está incluída nas funções predefinidas de visualizador da política da organização (roles/orgpolicy.policyViewer) e administrador da política da organização (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set na pasta de destino para aplicar as atualizações disponíveis. Esta autorização não é suportada em funções personalizadas, mas está incluída na função predefinida de administrador da política da organização (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy e resourcemanager.folders.setIamPolicyna pasta de destino para ativar as atualizações. Estas autorizações estão incluídas na função Administrador de IAM da pasta (roles/resourcemanager.folderIamAdmin) e noutras funções predefinidas altamente permissivas.

Ative as atualizações de cargas de trabalho

Quando ativa as atualizações de cargas de trabalho, o agente de serviço do Assured Workloads é criado. Em seguida, é concedido ao agente de serviço a função de agente de serviço do Assured Workloads (roles/assuredworkloads.serviceAgent) na pasta do Assured Workloads de destino. Esta função permite que o agente de serviço verifique se existem atualizações disponíveis na pasta.

Para ativar as atualizações de cargas de trabalho, conclua os seguintes passos:

Consola

Na Google Cloud consola, aceda à página Assured Workloads

Aceda ao Assured Workloads
Na parte superior da página, no painel Apresentamos as atualizações de conformidade, clique em Ativar atualizações de conformidade.
Quando lhe for perguntado Ativar atualizações de conformidade?, clique em Ativar.

As atualizações de cargas de trabalho estão agora ativadas para todas as pastas do Assured Workloads na sua organização.

REST

O método enableComplianceUpdates permite que o Assured Workloads lhe envie notificações de atualizações para uma única pasta do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Substitua os seguintes valores de marcadores de posição pelos seus:

ENDPOINT_URI: o URI do ponto final do serviço Assured Workloads. Este URI tem de ser o ponto final correspondente à localização da carga de trabalho de destino, como https://us-west1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-west1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional nos EUA.
ORGANIZATION_ID: o ID da organização da pasta Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: a localização da pasta Assured Workloads, por exemplo, us-west1 ou us. Corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para a qual ativar as atualizações, por exemplo, 00-701ea036-7152-4780-a867-9f5.

Por exemplo:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Veja as atualizações da carga de trabalho

Para ver as atualizações da carga de trabalho, conclua os seguintes passos:

Consola

Na Google Cloud consola, aceda à página Assured Workloads

Aceda ao Assured Workloads
Na coluna Nome, clique no nome da pasta do Assured Workloads para a qual quer ver atualizações. Em alternativa, se estiverem disponíveis atualizações para a pasta, clique no link na coluna Atualizações.
Em Atualizações disponíveis, clique em Rever atualizações disponíveis.
Se estiverem disponíveis, as atualizações das políticas da organização são apresentadas no separador Política da organização. Reveja a restrição da política da organização afetada e clique em Ver atualização para pré-visualizar as definições da restrição que vão ser aplicadas pela atualização.

REST

O método organizations.locations.workloads.updates.list apresenta as atualizações disponíveis para uma carga de trabalho do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Substitua os seguintes valores de marcadores de posição pelos seus:

ENDPOINT_URI: o URI do ponto final do serviço Assured Workloads. Este URI tem de ser o ponto final correspondente à localização da carga de trabalho de destino, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional nos EUA.
ORGANIZATION_ID: o ID da organização da pasta Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: a localização da pasta Assured Workloads, por exemplo, us-central1 ou us. Corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para a qual listar as atualizações disponíveis, por exemplo, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (Opcional): limita o número de atualizações a devolver na resposta. Se não for especificado, o valor predefinido é 20. O valor máximo é 100.
PAGE_TOKEN (Opcional): quando estão disponíveis uma ou mais páginas, é devolvido um token para a página seguinte na resposta JSON. Por exemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se não for especificado, não são devolvidas páginas subsequentes.

Por exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Se for bem-sucedido, recebe uma resposta JSON semelhante ao seguinte exemplo:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplique atualizações de carga de trabalho

A aplicação de uma atualização de carga de trabalho a uma carga de trabalho é uma operação de longa duração. Se a configuração da carga de trabalho for alterada após o início da operação e antes de esta ser concluída, pode ocorrer um erro.

Além disso, as atualizações da carga de trabalho são reavaliadas periodicamente em função da configuração mais recente disponível. Neste caso, podem estar disponíveis atualizações adicionais imediatamente após a aplicação de uma atualização.

Para aplicar atualizações de cargas de trabalho, conclua os seguintes passos:

Consola

Na Google Cloud consola, aceda à página Assured Workloads

Aceda ao Assured Workloads
Na coluna Nome, clique no nome da pasta do Assured Workloads para a qual quer ver atualizações. Em alternativa, se estiverem disponíveis atualizações para a pasta, clique no link na coluna Atualizações.
Em Atualizações disponíveis, clique em Rever atualizações disponíveis.
Se estiverem disponíveis, as atualizações das políticas da organização são apresentadas no separador Política da organização. Reveja a restrição da política da organização afetada e clique em Ver atualização para pré-visualizar as definições da restrição atualizada.
Clique em Atualizar política da organização para aplicar a atualização.

A operação de atualização de longa duração é iniciada e as novas definições da política de organização da pasta são aplicadas.

REST

O método organizations.locations.workloads.updates.apply aplica a atualização especificada a uma carga de trabalho do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Substitua os seguintes valores de marcadores de posição pelos seus:

ENDPOINT_URI: o URI do ponto final do serviço Assured Workloads. Este URI tem de ser o ponto final correspondente à localização da carga de trabalho de destino, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional nos EUA.
ORGANIZATION_ID: o ID da organização da pasta Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: a localização da pasta Assured Workloads, por exemplo, us-central1 ou us. Corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para a qual listar as atualizações disponíveis, por exemplo, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: o ID da atualização a aplicar, selecionado na lista de atualizações disponíveis devolvidas pelo método organizations.locations.workloads.updates.list, por exemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Corpo do pedido:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Por exemplo:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Se for bem-sucedido, recebe uma resposta JSON semelhante ao seguinte exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para obter o estado de uma operação de atualização de execução longa, use o ID da operação no valor name da resposta JSON. Usando o exemplo anterior, o ID da operação é 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Em seguida, faça o seguinte pedido, substituindo os valores dos marcadores de posição pelos seus:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Por exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Se for bem-sucedido, recebe uma resposta JSON semelhante ao seguinte exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}