Appliquer les mises à jour de la charge de travail
Cette page explique comment activer, afficher et appliquer les mises à jour des charges de travail pour Dossiers Assured Workloads. Assured Workloads met régulièrement à jour ses packages de contrôle avec les nouvelles paramètres et améliorations générales, comme la mise à jour des règles d'administration valeurs de contrainte. Cette fonctionnalité vous permet d'évaluer Configuration du dossier Assured Workloads par rapport à la dernière version disponible configuration et choisissez d'appliquer les mises à jour proposées.
Par défaut, cette fonctionnalité est automatiquement activée pour les nouveaux dossiers de charges de travail assurées. Pour les dossiers existants, nous vous recommandons vivement de suivre la procédure pour activer les mises à jour des charges de travail.
Cette fonctionnalité n'entraîne aucuns frais supplémentaires et n'affecte pas le comportement de la surveillance Assured Workloads. Vous recevrez toujours une alerte lorsque votre dossier ne sera plus conforme à sa configuration actuelle, que des mises à jour de sa configuration soient disponibles ou non.
Présentation des mises à jour des charges de travail
Lorsque vous créez un dossier Assured Workloads, type de package de contrôle que vous (par exemple, niveau d'impact modéré du FedRAMP) qui s'appliquent à votre charge de travail. Certains de ces paramètres sont visibles en externe sous la forme de contraintes de règles d'administration, tandis que d'autres ne s'appliquent qu'aux systèmes internes de Google. Assured Workloads utilise un système interne de gestion des versions pour la configuration conserver les modifications pour chaque type de package de contrôle.
Lorsqu'une nouvelle version de configuration interne est disponible, Assured Workloads compare la configuration de votre charge de travail à la nouvelle version interne. Toutes les différences sont analysées, et les améliorations qui en résultent sont disponibles en tant que mise à jour que vous pouvez appliquer à la configuration de votre charge de travail.
Google a vérifié que les mises à jour Assured Workloads disponibles respectaient les exigences du package de contrôle de votre charge de travail. Toutefois, il reste de votre responsabilité d'examiner chaque mise à jour disponible pour vous assurer qu'elle répond aux exigences réglementaires ou de conformité de votre organisation. Voir Responsabilité partagée dans Assured Workloads pour en savoir plus.
Types de mises à jour compatibles
Cette fonctionnalité permet d'afficher et d'appliquer les types de mises à jour suivants sur une Dossier Assured Workloads:
Contraintes de règle d'administration: toute contrainte de règle d'administration qui applicables à votre charge de travail et appliquées par Assured Workloads peut être inclus dans une mise à jour d'une charge de travail, à quelques exceptions près:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Avant de commencer
- Identifiez les ID de ressource des dossiers Assured Workloads pour lesquels vous souhaitez activer les mises à jour.
- Attribuez ou vérifiez les autorisations IAM sur les dossiers et les charges de travail Assured Workloads cibles.
Autorisations IAM requises
Pour que vous puissiez activer, afficher ou appliquer les mises à jour des charges de travail, l'appelant doit disposer
les autorisations IAM à l'aide d'un
rôle prédéfini comprenant
plus large d'autorisations, ou
rôle personnalisé limité au minimum
les autorisations nécessaires. Notez que l'autorisation orgpolicy.policy.set requise
n'est pas disponible dans les rôles personnalisés.
Les autorisations suivantes sont requises :
assuredworkloads.workload.updatesur la charge de travail cible pour activer les mises à jour. Cette autorisation est incluse dans Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin) des rôles prédéfinis.assuredworkloads.updates.listsur la charge de travail cible pour afficher les mises à jour disponibles. Cette autorisation est incluse dans Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor), et Administrateur Assured Workloads (roles/assuredworkloads.admin) des rôles prédéfinis.assuredworkloads.updates.updatesur la charge de travail cible à appliquer mises à jour. Cette autorisation est incluse dans Éditeur Assured Workloads (roles/assuredworkloads.editor), et Administrateur Assured Workloads (roles/assuredworkloads.admin) des rôles prédéfinis.assuredworkloads.operations.getsur la charge de travail cible pour obtenir l'état et les résultats d'une opération de mise à jour. Cette autorisation est incluse dans les rôles prédéfinis Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.getsur le dossier cible pour appliquer les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Lecteur des règles d'administration de l'organisation (roles/orgpolicy.policyViewer) et Administrateur des règles d'administration de l'organisation (roles/orgpolicy.policyAdmin).orgpolicy.policy.setsur le dossier cible pour appliquer les mises à jour disponibles. Ce L'autorisation n'est pas compatible avec les rôles personnalisés, mais elle est incluse dans Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) un rôle prédéfini.resourcemanager.folders.getIamPolicyetresourcemanager.folders.setIamPolicysur le dossier cible pour activer les mises à jour. Ces autorisations sont incluses dans le rôle Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin) et dans d'autres rôles prédéfinis très permissifs.
Activer les mises à jour de la charge de travail
Lorsque vous activez les mises à jour des charges de travail,
Agent de service Assured Workloads
est créé. Cet agent de service se voit ensuite accorder
Agent de service Assured Workloads (roles/assuredworkloads.serviceAgent)
sur le dossier Assured Workloads cible. Ce rôle active
pour vérifier si des mises à jour sont disponibles sur le dossier.
Pour activer les mises à jour de la charge de travail, procédez comme suit :
Console
Dans la console Google Cloud, accédez à Assured Workloads .
En haut de la page, dans le volet Présentation des mises à jour de conformité, cliquez sur Activer les mises à jour de conformité.
Lorsque vous êtes invité à Activer les mises à jour de conformité, cliquez sur Activer.
Les mises à jour des charges de travail sont désormais activées pour tous les dossiers Assured Workloads de votre organisation.
REST
La méthode enableComplianceUpdates permet à Assured Workloads de vous informer des mises à jour d'un seul dossier Assured Workloads.
Méthode HTTP, URL et paramètres de requête:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
- ENDPOINT_URI : URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la destination
(par exemple,
https://us-west1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-west1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID : emplacement du dossier Assured Workloads (par exemple,
us-west1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID: ID de la charge de travail Assured Workloads
pour lesquelles les mises à jour doivent être activées.
00-701ea036-7152-4780-a867-9f5
Exemple :
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesAfficher les mises à jour des charges de travail
Pour afficher les mises à jour des charges de travail, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page Assured Workloads.
Dans la colonne Nom, cliquez sur le nom du dossier "Charges de travail Assured" pour lequel vous souhaitez afficher les mises à jour. Si les mises à jour disponible pour le dossier, cliquez sur le lien dans la colonne Mises à jour.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Le cas échéant, les mises à jour des règles d'administration sont affichées dans le Onglet Règle d'administration. Examiner la règle d'administration concernée contrainte, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte qui sera appliqué par la mise à jour.
REST
La méthode organizations.locations.workloads.updates.list liste les mises à jour disponibles pour une charge de travail Assured Workloads.
Méthode HTTP, URL et paramètres de requête:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Remplacez les valeurs d'espace réservé suivantes par les vôtres :
- ENDPOINT_URI : URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple
https://us-central1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-central1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID : emplacement du dossier Assured Workloads (par exemple,
us-central1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID: ID de la charge de travail Assured Workloads
pour laquelle vous souhaitez répertorier les mises à jour disponibles (par exemple,
00-701ea036-7152-4780-a867-9f5 - PAGE_SIZE (facultatif): limite le nombre de mises à jour à renvoyer
la réponse. Si aucune valeur n'est spécifiée, la valeur par défaut est définie sur
20. La valeur maximale est100. - PAGE_TOKEN (facultatif): si une ou plusieurs pages sont disponibles,
un jeton pour la page suivante est renvoyé dans la réponse JSON.
Exemple :
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si aucune valeur n'est spécifiée, aucun les pages suivantes seront renvoyées.
Exemple :
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSi l'opération réussit, vous recevez une réponse JSON semblable à la suivante : Exemple:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Appliquer les mises à jour des charges de travail
L'application d'une mise à jour de charge de travail à une charge de travail est une opération de longue durée. Si votre la configuration de la charge de travail change après le démarrage de l'opération et avant qu'elle ne soit terminée, une erreur peut se produire.
De plus, les mises à jour de la charge de travail sont régulièrement réévaluées par rapport à la dernière configuration disponible. Dans ce cas, des mises à jour supplémentaires peuvent être disponibles immédiatement après avoir appliqué une mise à jour.
Pour appliquer les mises à jour de la charge de travail, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Assured Workloads.
Dans la colonne Nom, cliquez sur le nom d'Assured Workloads. dossier dont vous souhaitez consulter les mises à jour. Si des mises à jour sont disponibles pour le dossier, vous pouvez également cliquer sur le lien de la colonne Mises à jour.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Si elles sont disponibles, les mises à jour des règles d'administration s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte mis à jour.
Cliquez sur Mettre à jour la règle d'administration pour appliquer la mise à jour.
L'opération de mise à jour de longue durée démarre, et la nouvelle organisation du dossier les paramètres de la règle seront appliqués.
REST
La
organizations.locations.workloads.updates.apply
applique la mise à jour spécifiée pour une charge de travail Assured Workloads
charge de travail spécifique.
Méthode HTTP, URL et paramètres de requête :
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
- ENDPOINT_URI : URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la destination
(par exemple,
https://us-central1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-central1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID : ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID : emplacement du dossier Assured Workloads (par exemple,
us-central1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID : ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles (par exemple,
00-701ea036-7152-4780-a867-9f5). - UPDATE_ID : ID de la mise à jour à appliquer, sélectionné dans la liste des mises à jour disponibles renvoyées par la méthode
organizations.locations.workloads.updates.list(par exemple,edb84871-833b-45ec-9c00-c9b5c19d2d87).
Corps de la requête :
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Exemple :
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant :
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Pour obtenir l'état d'une opération de mise à jour de longue durée, utilisez l'ID d'opération.
dans la valeur name de la réponse JSON. Dans l'exemple précédent, l'ID d'opération est 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Envoyez ensuite la requête suivante, en remplaçant les valeurs d'espace réservé par les vôtres :
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Exemple :
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSi l'opération réussit, vous recevez une réponse JSON semblable à la suivante : Exemple:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }