Se usó la API de Cloud Translation para traducir esta página.

Aplica actualizaciones de la carga de trabajo

En esta página, se describe cómo habilitar, visualizar y aplicar actualizaciones de cargas de trabajo para Carpetas de Assured Workloads. Actualizaciones periódicas de Assured Workloads sus paquetes de control con nuevas parámetros de configuración y mejoras generales, como políticas de la organización actualizadas los valores de las restricciones. Esta función te permite evaluar tu Configuración de las carpetas de Assured Workloads en función de la versión más reciente disponible configuración y eliges aplicar las actualizaciones propuestas.

De forma predeterminada, esta función se habilita automáticamente para las carpetas de cargas de trabajo seguras nuevas. En el caso de las carpetas existentes, te recomendamos que sigas los pasos para habilitar las actualizaciones de cargas de trabajo.

Esta función no genera cargos adicionales ni afecta comportamiento de Supervisión de Assured Workloads: recibirás alertas cuando tu carpeta no cumpla con las configuración actual, sin importar si se realizan actualizaciones disponibles.

Descripción general de las actualizaciones de cargas de trabajo

Cuando creas una nueva carpeta de Assured Workloads, el controlar el tipo de paquete seleccionar, como FedRAMP Moderado, determina la variedad de parámetros de seguridad que se aplican a tu carga de trabajo. Algunos de estos parámetros son visible externamente en forma de restricciones de las políticas de la organización, aunque otras solo se aplican a los sistemas internos de Google. Assured Workloads usa un sistema interno de control de versiones de configuración para mantener los cambios de cada tipo de paquete de control.

Cuando hay una nueva versión de configuración interna disponible, las cargas de trabajo aseguradas comparan la configuración de tu carga de trabajo con la nueva versión interna. Se analizan las diferencias, y las mejoras resultantes están disponibles como una actualización que puedes aplicar a la configuración de tu carga de trabajo.

Google verificó que las actualizaciones disponibles de Assured Workloads satisfagan los requisitos del paquete de control de tu carga de trabajo. Sin embargo, es tu responsabilidad revisar cada actualización disponible para asegurarte de que cumpla con los requisitos regulatorios o de cumplimiento de tu organización. Consulta Responsabilidad compartida en Assured Workloads para obtener más información.

Tipos de actualización compatibles

Esta función admite la visualización y aplicación de los siguientes tipos de actualizaciones en una carpeta de cargas de trabajo seguras:

Restringe las políticas de la organización: Cualquier restricción de las políticas de la organización que se aplique a tu carga de trabajo y que Assured Workloads aplique se puede incluir en una actualización de la carga de trabajo, con las siguientes excepciones:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Nota: Las actualizaciones de gcp.restrictServiceUsage están disponibles en la consola de Google Cloud. pero no están disponibles cuando se usa la API de Assured Workloads. Por ejemplo, no recibirás actualizaciones de gcp.restrictServiceUsage cuando llames al método updates como se describe en la sección Cómo ver las actualizaciones de la carga de trabajo.

Antes de comenzar

Identifica los IDs de recursos de las carpetas de Assured Workloads para para habilitar las actualizaciones.
Asigna o verifica los permisos de IAM en las carpetas y cargas de trabajo de cargas de trabajo aseguradas de destino.

Permisos de IAM obligatorios

Para habilitar, ver o aplicar actualizaciones de cargas de trabajo, se debe otorgar al emisor permisos de IAM con un función predefinida que incluya un conjunto más amplio de permisos o una rol personalizado que se restringe al mínimo los permisos necesarios. Ten en cuenta que el permiso orgpolicy.policy.set requerido no está disponible para usarse en roles personalizados.

Los siguientes permisos son obligatorios:

assuredworkloads.workload.update en la carga de trabajo de destino para habilitar las actualizaciones. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list en la carga de trabajo de destino para ver el estado disponible actualizaciones. Este permiso se incluye en el Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor), y Administrador de Assured Workloads (roles/assuredworkloads.admin) roles predefinidos.
assuredworkloads.updates.update en la carga de trabajo objetivo para aplicar actualizaciones. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.operations.get en la carga de trabajo de destino para obtener el estado y los resultados de una operación de actualización. Este permiso se incluye en el Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor), y Administrador de Assured Workloads (roles/assuredworkloads.admin) roles predefinidos.
orgpolicy.policy.get en la carpeta de destino para aplicar las actualizaciones disponibles Esta permiso está incluido en la Visualizador de políticas de la organización (roles/orgpolicy.policyViewer) y Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) roles predefinidos.
orgpolicy.policy.set en la carpeta de destino para aplicar las actualizaciones disponibles. Esta el permiso no es compatible con los roles personalizados, pero está incluido en la Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) rol predefinido.
resourcemanager.folders.getIamPolicy y resourcemanager.folders.setIamPolicy en la carpeta de destino para habilitar las actualizaciones. Estos permisos se incluyen en el Administrador de IAM de carpeta (roles/resourcemanager.folderIamAdmin) y otros roles predefinidos altamente permisivos.

Habilitar actualizaciones de cargas de trabajo

Cuando habilitas las actualizaciones de cargas de trabajo, Agente de servicio de Assured Workloads cuando se cree. Luego, a este agente de servicio se le otorga el rol de agente de servicio de Assured Workloads (roles/assuredworkloads.serviceAgent) en la carpeta de destino de Assured Workloads. Este rol permite a las de agente de servicio para comprobar si hay actualizaciones disponibles en la carpeta.

Para habilitar las actualizaciones de las cargas de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a la página Assured Workloads.

Ir a Assured Workloads
En la parte superior de la página, en el panel Introducing Compliance Updates, Haz clic en Habilitar actualizaciones de cumplimiento.
Cuando se te solicite ¿Quieres habilitar las actualizaciones de cumplimiento?, haz clic en Habilitar.

Se habilitaron las actualizaciones de las cargas de trabajo para todas las carpetas de Assured Workloads en tu organización.

REST

El método enableComplianceUpdates permite que Assured Workloads te notifique las actualizaciones de una sola carpeta de Assured Workloads.

Método HTTP, URL y parámetros de consulta:

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación del destino como https://us-west1-assuredworkloads.googleapis.com para una regionalizada en la región us-west1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización del Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de Assured Workloads. por ejemplo, us-west1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads. para habilitar actualizaciones, por ejemplo, 00-701ea036-7152-4780-a867-9f5

Por ejemplo:

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Cómo ver las actualizaciones de la carga de trabajo

Para ver las actualizaciones de la carga de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a Assured Workloads. .

Ir a Assured Workloads
En la columna Nombre, haz clic en el nombre de la carpeta de cargas de trabajo con garantías para la que deseas ver las actualizaciones. Por otro lado, si las actualizaciones disponible para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si están disponibles, las actualizaciones de las políticas de la organización se muestran Pestaña Política de la organización Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción que aplicará la actualización.

REST

El método organizations.locations.workloads.updates.list enumera las actualizaciones disponibles para una carga de trabajo de Assured Workloads.

Método HTTP, URL y parámetros de consulta:

GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación del destino como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización del Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de la carpeta Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se deben enumerar las actualizaciones disponibles, por ejemplo, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (opcional): Limita la cantidad de actualizaciones que se mostrarán en la respuesta. Si no se especifica, el valor predeterminado se establece en 20. El máximo valor es 100.
PAGE_TOKEN (opcional): Cuando una o más páginas están disponibles, se devuelve un token para la página siguiente en la respuesta JSON Por ejemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si no se especifica, no se mostrarán páginas posteriores.

Por ejemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Si se realiza con éxito, recibirás una respuesta JSON similar a la siguiente ejemplo:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplica actualizaciones de carga de trabajo

La aplicación de una actualización de la carga de trabajo es una operación de larga duración. Si la configuración de la carga de trabajo cambia después de iniciar la operación y antes de que se complete, es posible que se produzca un error.

Además, las actualizaciones de cargas de trabajo se vuelven a evaluar periódicamente en función de la configuración disponible más reciente. En este caso, es posible que haya actualizaciones adicionales inmediatamente después de aplicar una actualización.

Para aplicar actualizaciones de carga de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud, ve a Assured Workloads. .

Ir a Assured Workloads
En la columna Nombre, haz clic en el nombre de Assured Workloads. de la carpeta de la que deseas ver las actualizaciones. Por otro lado, si las actualizaciones disponible para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si están disponibles, las actualizaciones de la política de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción actualizada.
Haz clic en Actualizar política de la organización para aplicar la actualización.

Se inicia la operación de actualización de larga duración y se aplicará la configuración de la nueva política de la organización de la carpeta.

REST

El organizations.locations.workloads.updates.apply aplica la actualización especificada para una cuenta de Assured Workloads carga de trabajo.

Método HTTP, URL y parámetros de consulta:

POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización del Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de la carpeta Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se deben enumerar las actualizaciones disponibles, por ejemplo, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: Es el ID de la actualización que se aplicará, seleccionado de la lista de actualizaciones disponibles que muestra el método organizations.locations.workloads.updates.list, por ejemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Cuerpo de la solicitud:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Por ejemplo:

POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Si se realiza con éxito, recibirás una respuesta JSON similar a la siguiente ejemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para obtener el estado de una operación de actualización de larga duración, usa el ID de operación. en el valor name de la respuesta JSON. Con el ejemplo anterior, la el ID de operación es 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Luego, realiza la siguiente solicitud y reemplaza los valores de los marcadores de posición por los tuyos:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Por ejemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Si se realiza con éxito, recibirás una respuesta JSON similar a la siguiente ejemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}