Diese Seite wurde von der Cloud Translation API übersetzt.

Arbeitslastupdates anwenden

Auf dieser Seite wird beschrieben, wie Sie Arbeitslastupdates für Ordner mit Assured Workloads aktivieren, ansehen und anwenden. Assured Workloads aktualisiert seine Kontrollpakete regelmäßig mit neuen Einstellungen und allgemeinen Verbesserungen, z. B. aktualisierte Werte für die Einschränkungen von Organisationsrichtlinien. Mit dieser Funktion können Sie die aktuelle Konfiguration Ihres Assured Workloads-Ordners mit der neuesten verfügbaren Konfiguration vergleichen und vorgeschlagene Updates anwenden.

Diese Funktion ist standardmäßig für neue Ordner mit abgesicherten Arbeitslasten automatisch aktiviert. Bei vorhandenen Ordnern empfehlen wir dringend, die Schritte zum Aktivieren von Arbeitslastupdates auszuführen.

Diese Funktion ist kostenlos und hat keine Auswirkungen auf das Verhalten des Assured Workloads-Monitorings. Sie werden weiterhin benachrichtigt, wenn Ihr Ordner nicht der aktuellen Konfiguration entspricht, unabhängig davon, ob Updates für die Konfiguration verfügbar sind.

Arbeitslastupdates – Übersicht

Wenn Sie einen neuen Assured Workloads-Ordner erstellen, werden die verschiedenen Konfigurationseinstellungen, die auf Ihre Arbeitslast angewendet werden, durch den ausgewählten Typ des Steuerpakets bestimmt, z. B. FedRAMP Moderate. Einige dieser Einstellungen sind extern in Form von Einschränkungen der Organisationsrichtlinien sichtbar, andere gelten jedoch nur für die internen Systeme von Google. Assured Workloads verwendet ein internes Konfigurationsversionierungssystem, um Änderungen für jeden Kontrollpakettyp zu verwalten.

Wenn eine neue interne Konfigurationsversion verfügbar wird, vergleicht Assured Workloads die Konfiguration Ihrer Arbeitslast mit der neuen internen Version. Alle Unterschiede werden analysiert und die resultierenden Verbesserungen werden als Update verfügbar gemacht, das Sie auf die Konfiguration Ihrer Arbeitslast anwenden können.

Verfügbare Assured Workloads-Updates wurden von Google geprüft und entsprechen den Anforderungen des Kontrollpakets Ihrer Arbeitslast. Es liegt jedoch in Ihrer Verantwortung, jedes verfügbare Update zu prüfen, um sicherzustellen, dass es den rechtlichen oder Compliance-Anforderungen Ihrer Organisation entspricht. Weitere Informationen finden Sie unter Geteilte Verantwortung in Assured Workloads.

Unterstützte Updatetypen

Mit dieser Funktion können die folgenden Arten von Updates in einem Assured Workloads-Ordner angezeigt und angewendet werden:

Einschränkungen für Organisationsrichtlinien: Alle Einschränkungen für Organisationsrichtlinien, die für Ihre Arbeitslast gelten und von Assured Workloads erzwungen werden, können in eine Arbeitslastaktualisierung aufgenommen werden, mit folgenden Ausnahmen:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Hinweis: gcp.restrictServiceUsage-Aktualisierungen sind in der Google Cloud Console verfügbar, aber nicht bei Verwendung der Assured Workloads API. So erhalten Sie beispielsweise keine gcp.restrictServiceUsage-Aktualisierungen, wenn Sie die updates-Methode aufrufen, wie im Abschnitt Aktualisierungen der Arbeitslast ansehen beschrieben.

Hinweise

Geben Sie die Ressourcen-IDs für die Assured Workloads-Ordner an, für die Updates aktiviert werden sollen.
Weisen Sie IAM-Berechtigungen zu oder prüfen Sie sie für die Zielordner und ‑arbeitslasten von Assured Workloads.

Erforderliche IAM-Berechtigungen

Um Arbeitslastupdates zu aktivieren, aufzurufen oder anzuwenden, muss dem Aufrufer IAM-Berechtigungen gewährt werden. Dazu kann entweder eine vordefinierte Rolle mit einer größeren Anzahl von Berechtigungen oder eine benutzerdefinierte Rolle verwendet werden, die auf die minimal erforderlichen Berechtigungen beschränkt ist. Die erforderliche Berechtigung orgpolicy.policy.set kann nicht in benutzerdefinierten Rollen verwendet werden.

Folgende Berechtigungen sind erforderlich:

assuredworkloads.workload.update für die Zielarbeitslast, um Updates zu aktivieren. Diese Berechtigung ist in den vordefinierten Rollen Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
assuredworkloads.updates.list für die Zielarbeitslast, um verfügbare Updates aufzurufen. Diese Berechtigung ist in den vordefinierten Rollen Leser von Assured Workloads (roles/assuredworkloads.reader), Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
assuredworkloads.updates.update auf die Zielarbeitslast, um verfügbare Updates anzuwenden. Diese Berechtigung ist in den vordefinierten Rollen Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
assuredworkloads.operations.get auf die Zielarbeitslast, um den Status und die Ergebnisse eines Aktualisierungsvorgangs abzurufen. Diese Berechtigung ist in den vordefinierten Rollen Leser von Assured Workloads (roles/assuredworkloads.reader), Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
orgpolicy.policy.get auf den Zielordner, um verfügbare Updates anzuwenden. Diese Berechtigung ist in den vordefinierten Rollen Betrachter für Organisationsrichtlinien (roles/orgpolicy.policyViewer) und Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) enthalten.
orgpolicy.policy.set auf den Zielordner, um verfügbare Updates anzuwenden. Diese Berechtigung wird in benutzerdefinierten Rollen nicht unterstützt, ist aber in der vordefinierten Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) enthalten.
resourcemanager.folders.getIamPolicy und resourcemanager.folders.setIamPolicy für den Zielordner, um Aktualisierungen zu aktivieren. Diese Berechtigungen sind in der Rolle Folder IAM Admin (roles/resourcemanager.folderIamAdmin) und anderen vordefinierten Rollen mit umfassenden Berechtigungen enthalten.

Arbeitslastupdates aktivieren

Wenn Sie Arbeitslastupdates aktivieren, wird der Assured Workloads-Dienst-Agent erstellt. Diesem Dienst-Agent wird dann die Rolle Assured Workloads-Dienst-Agent (roles/assuredworkloads.serviceAgent) für den Zielordner „Assured Workloads“ zugewiesen. Mit dieser Rolle kann der Kundenservicemitarbeiter nach verfügbaren Updates für den Ordner suchen.

So aktivieren Sie Updates für Arbeitslasten:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie oben auf der Seite im Bereich Compliance-Updates auf Compliance-Updates aktivieren.
Klicken Sie auf Aktivieren, wenn Sie gefragt werden, ob Sie Compliance-Updates aktivieren möchten.

Arbeitslastupdates sind jetzt für alle Assured Workloads-Ordner in Ihrer Organisation aktiviert.

REST

Mit der Methode enableComplianceUpdates können Sie sich über Assured Workloads über Updates für einen einzelnen Assured Workloads-Ordner benachrichtigen lassen.

HTTP-Methode, URL und Suchparameter:

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der URI des Assured Workloads-Dienstendpunkts. Dieser URI muss der Endpunkt sein, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-west1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-west1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Zuverlässige Arbeitslasten“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Ordners „Assured Workloads“, z. B. us-west1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die Updates aktiviert werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.

Beispiel:

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Arbeitslastupdates ansehen

So rufen Sie Updates für Arbeitslasten auf:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie in der Spalte Name auf den Namen des Ordners „Assurance-Arbeitslasten“, für den Sie Updates ansehen möchten. Wenn Updates für den Ordner verfügbar sind, klicken Sie alternativ auf den Link in der Spalte Updates.
Klicken Sie unter Verfügbare Updates auf Verfügbare Updates prüfen.
Falls verfügbar, werden Updates der Organisationsrichtlinie auf dem Tab Organisationsrichtlinie angezeigt. Sehen Sie sich die betroffene Einschränkung der Organisationsrichtlinie an und klicken Sie auf Update ansehen, um eine Vorschau der Einschränkungseinstellungen zu erhalten, die durch das Update angewendet werden.

REST

Mit der Methode organizations.locations.workloads.updates.list werden verfügbare Updates für eine Assured Workloads-Arbeitslast aufgelistet.

HTTP-Methode, URL und Suchparameter:

GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der URI des Assured Workloads-Dienstendpunkts. Dieser URI muss der Endpunkt sein, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-central1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-central1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Zuverlässige Arbeitslasten“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Ordners „Assured Workloads“, z. B. us-central1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die verfügbare Updates aufgelistet werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (Optional): Damit wird die Anzahl der Aktualisierungen begrenzt, die in der Antwort zurückgegeben werden. Wenn keine Angabe erfolgt, wird der Standardwert 20 verwendet. Der Maximalwert ist 100.
PAGE_TOKEN (Optional): Wenn eine oder mehrere Seiten verfügbar sind, wird in der JSON-Antwort ein Token für die nächste Seite zurückgegeben, z. B. nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Wenn nicht angegeben, werden keine nachfolgenden Seiten zurückgegeben.

Beispiel:

GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Arbeitslastupdates anwenden

Das Anwenden eines Arbeitslastupdates auf eine Arbeitslast ist ein langwieriger Vorgang. Wenn sich die Arbeitslastkonfiguration nach dem Starten des Vorgangs und vor seinem Abschluss ändert, kann ein Fehler auftreten.

Außerdem werden Arbeitslastupdates regelmäßig anhand der neuesten verfügbaren Konfiguration neu bewertet. In diesem Fall sind möglicherweise sofort nach der Installation eines Updates weitere Updates verfügbar.

So wenden Sie Updates für Arbeitslasten an:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie in der Spalte Name auf den Namen des Ordners „Assurance-Arbeitslasten“, für den Sie Updates ansehen möchten. Wenn Updates für den Ordner verfügbar sind, klicken Sie alternativ auf den Link in der Spalte Updates.
Klicken Sie unter Verfügbare Updates auf Verfügbare Updates prüfen.
Falls verfügbar, werden Updates der Organisationsrichtlinie auf dem Tab Organisationsrichtlinie angezeigt. Sehen Sie sich die betroffene Einschränkung der Organisationsrichtlinie an und klicken Sie auf Aktualisierung ansehen, um eine Vorschau der aktualisierten Einstellungen für die Einschränkung zu erhalten.
Klicken Sie auf Organisationsrichtlinie aktualisieren, um das Update anzuwenden.

Der lang andauernde Aktualisierungsvorgang beginnt und die neuen Richtlinieneinstellungen der Organisation werden auf den Ordner angewendet.

REST

Mit der Methode organizations.locations.workloads.updates.apply wird das angegebene Update auf einen Assured Workloads-Arbeitslast angewendet.

HTTP-Methode, URL und Suchparameter:

POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der URI des Assured Workloads-Dienstendpunkts. Dieser URI muss der Endpunkt sein, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-central1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-central1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Zuverlässige Arbeitslasten“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Ordners „Assured Workloads“, z. B. us-central1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die verfügbare Updates aufgelistet werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: Die ID der anzuwendenden Aktualisierung, ausgewählt aus der Liste der verfügbaren Aktualisierungen, die von der Methode organizations.locations.workloads.updates.list zurückgegeben wird, z. B. edb84871-833b-45ec-9c00-c9b5c19d2d87.

Anfragetext:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Beispiel:

POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Um den Status eines langwierigen Aktualisierungsvorgangs abzurufen, verwenden Sie die Vorgangs-ID im Wert name aus der JSON-Antwort. Im vorherigen Beispiel lautet die Vorgangs-ID 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Stellen Sie dann die folgende Anfrage und ersetzen Sie die Platzhalterwerte durch Ihre eigenen:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Beispiel:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}