Appliquer les mises à jour de la charge de travail

Cette page explique comment activer, afficher et appliquer les mises à jour des charges de travail pour Dossiers Assured Workloads. Assured Workloads met régulièrement à jour ses packages de contrôle avec les nouvelles paramètres et améliorations générales, comme la mise à jour des règles d'administration valeurs de contrainte. Cette fonctionnalité vous permet d'évaluer Configuration du dossier Assured Workloads par rapport à la dernière version disponible configuration et choisissez d'appliquer les mises à jour proposées.

Par défaut, cette fonctionnalité est automatiquement activée pour les nouveaux dossiers de charges de travail assurées. Pour les dossiers existants, nous vous recommandons vivement de suivre la procédure pour activer les mises à jour des charges de travail.

Cette fonctionnalité n'entraîne aucuns frais supplémentaires et n'affecte pas le comportement de la surveillance Assured Workloads. Vous recevrez toujours une alerte lorsque votre dossier ne sera plus conforme à sa configuration actuelle, que des mises à jour de sa configuration soient disponibles ou non.

Présentation des mises à jour des charges de travail

Lorsque vous créez un dossier Assured Workloads, type de package de contrôle que vous (par exemple, niveau d'impact modéré du FedRAMP) qui s'appliquent à votre charge de travail. Certains de ces paramètres sont visibles en externe sous la forme de contraintes de règles d'administration, tandis que d'autres ne s'appliquent qu'aux systèmes internes de Google. Assured Workloads utilise un système interne de gestion des versions pour la configuration conserver les modifications pour chaque type de package de contrôle.

Lorsqu'une nouvelle version de configuration interne est disponible, Assured Workloads compare la configuration de votre charge de travail à la nouvelle version interne. Toutes les différences sont analysées, et les améliorations qui en résultent sont disponibles en tant que mise à jour que vous pouvez appliquer à la configuration de votre charge de travail.

Google a vérifié que les mises à jour Assured Workloads disponibles respectaient les exigences du package de contrôle de votre charge de travail. Toutefois, il reste de votre responsabilité d'examiner chaque mise à jour disponible pour vous assurer qu'elle répond aux exigences réglementaires ou de conformité de votre organisation. Voir Responsabilité partagée dans Assured Workloads pour en savoir plus.

Types de mises à jour compatibles

Cette fonctionnalité permet d'afficher et d'appliquer les types de mises à jour suivants sur une Dossier Assured Workloads:

  • Contraintes de règle d'administration: toute contrainte de règle d'administration qui applicables à votre charge de travail et appliquées par Assured Workloads peut être inclus dans une mise à jour d'une charge de travail, à quelques exceptions près:

    • gcp.resourceLocations
    • gcp.restrictCmekCryptoKeyProjects

Avant de commencer

  • Identifiez les ID de ressource des dossiers Assured Workloads pour lesquels vous souhaitez activer les mises à jour.
  • Attribuez ou vérifiez les autorisations IAM sur les dossiers et les charges de travail Assured Workloads cibles.

Autorisations IAM requises

Pour que vous puissiez activer, afficher ou appliquer les mises à jour des charges de travail, l'appelant doit disposer les autorisations IAM à l'aide d'un rôle prédéfini comprenant plus large d'autorisations, ou rôle personnalisé limité au minimum les autorisations nécessaires. Notez que l'autorisation orgpolicy.policy.set requise n'est pas disponible dans les rôles personnalisés.

Les autorisations suivantes sont requises :

Activer les mises à jour de la charge de travail

Lorsque vous activez les mises à jour des charges de travail, Agent de service Assured Workloads est créé. Cet agent de service se voit ensuite accorder Agent de service Assured Workloads (roles/assuredworkloads.serviceAgent) sur le dossier Assured Workloads cible. Ce rôle active pour vérifier si des mises à jour sont disponibles sur le dossier.

Pour activer les mises à jour de la charge de travail, procédez comme suit :

Console

  1. Dans la console Google Cloud, accédez à Assured Workloads .

    Accéder à Assured Workloads

  2. En haut de la page, dans le volet Présentation des mises à jour de conformité, cliquez sur Activer les mises à jour de conformité.

  3. Lorsque vous êtes invité à Activer les mises à jour de conformité, cliquez sur Activer.

Les mises à jour des charges de travail sont désormais activées pour tous les dossiers Assured Workloads de votre organisation.

REST

La méthode enableComplianceUpdates permet à Assured Workloads de vous informer des mises à jour d'un seul dossier Assured Workloads.

Méthode HTTP, URL et paramètres de requête:

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

  • ENDPOINT_URI : URI du point de terminaison de service Assured Workloads. Cet URI doit être le point de terminaison correspondant à l'emplacement de la destination (par exemple, https://us-west1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-west1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
  • ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple, 919698201234).
  • LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-west1 ou us). Il correspond à la valeur data region de la charge de travail.
  • WORKLOAD_ID: ID de la charge de travail Assured Workloads pour lesquelles les mises à jour doivent être activées. 00-701ea036-7152-4780-a867-9f5

Exemple :

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Afficher les mises à jour des charges de travail

Pour afficher les mises à jour des charges de travail, procédez comme suit :

Console

  1. Dans la console Google Cloud, accédez à la page Assured Workloads.

    Accéder à Assured Workloads

  2. Dans la colonne Nom, cliquez sur le nom du dossier "Charges de travail Assured" pour lequel vous souhaitez afficher les mises à jour. Si les mises à jour disponible pour le dossier, cliquez sur le lien dans la colonne Mises à jour.

  3. Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.

  4. Le cas échéant, les mises à jour des règles d'administration sont affichées dans le Onglet Règle d'administration. Examiner la règle d'administration concernée contrainte, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte qui sera appliqué par la mise à jour.

REST

La méthode organizations.locations.workloads.updates.list liste les mises à jour disponibles pour une charge de travail Assured Workloads.

Méthode HTTP, URL et paramètres de requête:

GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Remplacez les valeurs d'espace réservé suivantes par les vôtres :

  • ENDPOINT_URI : URI du point de terminaison de service Assured Workloads. Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple https://us-central1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-central1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
  • ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple, 919698201234).
  • LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-central1 ou us). Il correspond à la valeur data region de la charge de travail.
  • WORKLOAD_ID: ID de la charge de travail Assured Workloads pour laquelle vous souhaitez répertorier les mises à jour disponibles (par exemple, 00-701ea036-7152-4780-a867-9f5
  • PAGE_SIZE (facultatif): limite le nombre de mises à jour à renvoyer la réponse. Si aucune valeur n'est spécifiée, la valeur par défaut est définie sur 20. La valeur maximale est 100.
  • PAGE_TOKEN (facultatif): si une ou plusieurs pages sont disponibles, un jeton pour la page suivante est renvoyé dans la réponse JSON. Exemple : nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si aucune valeur n'est spécifiée, aucun les pages suivantes seront renvoyées.

Exemple :

GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Si l'opération réussit, vous recevez une réponse JSON semblable à la suivante : Exemple:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Appliquer les mises à jour des charges de travail

L'application d'une mise à jour de charge de travail à une charge de travail est une opération de longue durée. Si votre la configuration de la charge de travail change après le démarrage de l'opération et avant qu'elle ne soit terminée, une erreur peut se produire.

De plus, les mises à jour de la charge de travail sont régulièrement réévaluées par rapport à la dernière configuration disponible. Dans ce cas, des mises à jour supplémentaires peuvent être disponibles immédiatement après avoir appliqué une mise à jour.

Pour appliquer les mises à jour de la charge de travail, procédez comme suit:

Console

  1. Dans la console Google Cloud, accédez à la page Assured Workloads.

    Accéder à Assured Workloads

  2. Dans la colonne Nom, cliquez sur le nom d'Assured Workloads. dossier dont vous souhaitez consulter les mises à jour. Si des mises à jour sont disponibles pour le dossier, vous pouvez également cliquer sur le lien de la colonne Mises à jour.

  3. Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.

  4. Si elles sont disponibles, les mises à jour des règles d'administration s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte mis à jour.

  5. Cliquez sur Mettre à jour la règle d'administration pour appliquer la mise à jour.

L'opération de mise à jour de longue durée démarre, et la nouvelle organisation du dossier les paramètres de la règle seront appliqués.

REST

La organizations.locations.workloads.updates.apply applique la mise à jour spécifiée pour une charge de travail Assured Workloads charge de travail spécifique.

Méthode HTTP, URL et paramètres de requête :

POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Remplacez les valeurs d'espace réservé suivantes par les vôtres:

  • ENDPOINT_URI : URI du point de terminaison de service Assured Workloads. Cet URI doit être le point de terminaison correspondant à l'emplacement de la destination (par exemple, https://us-central1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-central1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
  • ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple, 919698201234).
  • LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-central1 ou us). Il correspond à la valeur data region de la charge de travail.
  • WORKLOAD_ID : ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles (par exemple, 00-701ea036-7152-4780-a867-9f5).
  • UPDATE_ID : ID de la mise à jour à appliquer, sélectionné dans la liste des mises à jour disponibles renvoyées par la méthode organizations.locations.workloads.updates.list (par exemple, edb84871-833b-45ec-9c00-c9b5c19d2d87).

Corps de la requête :

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Exemple :

POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant :

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Pour obtenir l'état d'une opération de mise à jour de longue durée, utilisez l'ID d'opération. dans la valeur name de la réponse JSON. Dans l'exemple précédent, l'ID d'opération est 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Envoyez ensuite la requête suivante, en remplaçant les valeurs d'espace réservé par les vôtres :

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Exemple :

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Si l'opération réussit, vous recevez une réponse JSON semblable à la suivante : Exemple:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}