Aplica actualizaciones de la carga de trabajo
En esta página, se describe cómo habilitar, ver y aplicar actualizaciones de cargas de trabajo para las carpetas de cargas de trabajo seguras. Assured Workloads actualiza sus paquetes de control con frecuencia con parámetros de configuración nuevos y mejoras generales, como valores de restricción actualizados de las políticas de la organización. Esta función te permite evaluar la configuración actual de la carpeta de cargas de trabajo de Assured Workloads en función de la configuración más reciente disponible y elegir aplicar las actualizaciones propuestas.
De forma predeterminada, esta función se habilita automáticamente para las carpetas de cargas de trabajo seguras nuevas. En el caso de las carpetas existentes, te recomendamos que sigas los pasos para habilitar las actualizaciones de cargas de trabajo.
Esta función no genera cargos adicionales ni afecta el comportamiento de la supervisión de Assured Workloads. Recibirás alertas cuando tu carpeta deje de cumplir con su configuración actual, independientemente de si hay actualizaciones de configuración disponibles.
Descripción general de las actualizaciones de cargas de trabajo
Cuando creas una nueva carpeta de Assured Workloads, el tipo de paquete de control que selecciones, como FedRAMP Moderate, determina los diversos parámetros de configuración que se aplican a tu carga de trabajo. Algunos de estos parámetros de configuración son visibles de forma externa en forma de restricciones de la política de la organización, aunque otros solo se aplican a los sistemas internos de Google. Assured Workloads usa un sistema interno de control de versiones de configuración para mantener los cambios de cada tipo de paquete de control.
Cuando hay una nueva versión de configuración interna disponible, las cargas de trabajo aseguradas comparan la configuración de tu carga de trabajo con la nueva versión interna. Se analizan las diferencias, y las mejoras resultantes están disponibles como una actualización que puedes aplicar a la configuración de tu carga de trabajo.
Google verificó que las actualizaciones disponibles de Assured Workloads satisfagan los requisitos del paquete de control de tu carga de trabajo. Sin embargo, es tu responsabilidad revisar cada actualización disponible para asegurarte de que cumpla con los requisitos regulatorios o de cumplimiento de tu organización. Consulta Responsabilidad compartida en Assured Workloads para obtener más información.
Tipos de actualizaciones admitidos
Esta función admite la visualización y aplicación de los siguientes tipos de actualizaciones en una carpeta de cargas de trabajo seguras:
Restringe las políticas de la organización: Se pueden incluir en una actualización de la carga de trabajo cualquier restricción de las políticas de la organización que se aplique a tu carga de trabajo y que Assured Workloads aplique, con las siguientes excepciones:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Antes de comenzar
- Identifica los IDs de recursos de las carpetas de Assured Workloads para las que deseas habilitar las actualizaciones.
- Asigna o verifica los permisos de IAM en las carpetas y cargas de trabajo de cargas de trabajo aseguradas de destino.
Permisos de IAM obligatorios
Para habilitar, ver o aplicar actualizaciones de cargas de trabajo, el llamador debe tener permisos de IAM mediante un rol predefinido que incluya un conjunto más amplio de permisos o un rol personalizado que esté restringido a los permisos mínimos necesarios. Ten en cuenta que el permiso orgpolicy.policy.set requerido no está disponible para usarse en roles personalizados.
Los siguientes permisos son obligatorios:
assuredworkloads.workload.updateen la carga de trabajo de destino para habilitar las actualizaciones. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.listen la carga de trabajo de destino para ver las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updateen la carga de trabajo de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.operations.geten la carga de trabajo de destino para obtener el estado y los resultados de una operación de actualización. Este permiso se incluye en los roles predefinidos de Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.geten la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Visualizador de políticas de la organización (roles/orgpolicy.policyViewer) y Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).orgpolicy.policy.seten la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso no es compatible con roles personalizados, pero se incluye en el rol predefinido de administrador de políticas de la organización (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicyyresourcemanager.folders.setIamPolicyen la carpeta de destino para habilitar las actualizaciones. Estos permisos se incluyen en el rol Administrador de IAM de carpetas (roles/resourcemanager.folderIamAdmin) y en otros roles predefinidos con muchos permisos.
Habilita las actualizaciones de la carga de trabajo
Cuando habilitas las actualizaciones de cargas de trabajo, se crea el agente de servicio de Assured Workloads. Luego, a este agente de servicio se le otorga el rol de agente de servicio de Assured Workloads (roles/assuredworkloads.serviceAgent) en la carpeta de destino de Assured Workloads. Este rol permite que el agente de servicio compruebe si hay actualizaciones disponibles en la carpeta.
Para habilitar las actualizaciones de cargas de trabajo, completa los siguientes pasos:
Console
En la consola de Google Cloud, ve a la página Assured Workloads.
En la parte superior de la página, en el panel Presentamos las actualizaciones de cumplimiento, haz clic en Habilitar actualizaciones de cumplimiento.
Cuando se te solicite Habilitar actualizaciones de cumplimiento, haz clic en Habilitar.
Las actualizaciones de cargas de trabajo ahora están habilitadas para todas las carpetas de Assured Workloads de tu organización.
REST
El método enableComplianceUpdates permite que Assured Workloads te notifique las actualizaciones de una sola carpeta de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-west1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-west1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización de la carpeta de cargas de trabajo aseguradas, por ejemplo,
919698201234. - LOCATION_ID: Es la ubicación de la carpeta Assured Workloads, por ejemplo,
us-west1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se habilitarán las actualizaciones, por ejemplo,
00-701ea036-7152-4780-a867-9f5.
Por ejemplo:
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesCómo ver las actualizaciones de la carga de trabajo
Para ver las actualizaciones de la carga de trabajo, completa los siguientes pasos:
Console
En la consola de Google Cloud, ve a la página Assured Workloads.
En la columna Nombre, haz clic en el nombre de la carpeta de cargas de trabajo con garantías para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si están disponibles, las actualizaciones de la política de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción que aplicará la actualización.
REST
El método organizations.locations.workloads.updates.list enumera las actualizaciones disponibles para una carga de trabajo de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-central1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-central1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización de la carpeta de cargas de trabajo aseguradas, por ejemplo,
919698201234. - LOCATION_ID: Es la ubicación de la carpeta Assured Workloads, por ejemplo,
us-central1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se deben enumerar las actualizaciones disponibles, por ejemplo,
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (opcional): Limita la cantidad de actualizaciones que se mostrarán en la respuesta. Si no se especifica, el valor predeterminado se establece en
20. El valor máximo es100. - PAGE_TOKEN (opcional): Cuando hay una o más páginas disponibles, se muestra un token para la siguiente página en la respuesta JSON, por ejemplo,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si no se especifica, no se mostrarán páginas posteriores.
Por ejemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSi se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Aplica actualizaciones de la carga de trabajo
La aplicación de una actualización de la carga de trabajo es una operación de larga duración. Si la configuración de la carga de trabajo cambia después de iniciar la operación y antes de que se complete, es posible que se produzca un error.
Además, las actualizaciones de cargas de trabajo se vuelven a evaluar periódicamente en función de la configuración disponible más reciente. En este caso, es posible que haya actualizaciones adicionales disponibles inmediatamente después de aplicar una.
Para aplicar actualizaciones de cargas de trabajo, sigue estos pasos:
Console
En la consola de Google Cloud, ve a la página Assured Workloads.
En la columna Nombre, haz clic en el nombre de la carpeta de cargas de trabajo con garantías para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si están disponibles, las actualizaciones de la política de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción actualizada.
Haz clic en Actualizar política de la organización para aplicar la actualización.
Se inicia la operación de actualización de larga duración y se aplicará la configuración de la nueva política de la organización de la carpeta.
REST
El método organizations.locations.workloads.updates.apply aplica la actualización especificada para una carga de trabajo de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-central1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-central1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización de la carpeta de cargas de trabajo aseguradas, por ejemplo,
919698201234. - LOCATION_ID: Es la ubicación de la carpeta Assured Workloads, por ejemplo,
us-central1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se deben enumerar las actualizaciones disponibles, por ejemplo,
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: Es el ID de la actualización que se aplicará, seleccionado de la lista de actualizaciones disponibles que muestra el método
organizations.locations.workloads.updates.list, por ejemplo,edb84871-833b-45ec-9c00-c9b5c19d2d87.
Cuerpo de la solicitud:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Por ejemplo:
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Si se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Para obtener el estado de una operación de actualización de larga duración, usa el ID de operación en el valor name de la respuesta JSON. En el ejemplo anterior, el ID de operación es 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Luego, realiza la siguiente solicitud y reemplaza los valores de los marcadores de posición por los tuyos:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Por ejemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSi se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }