Appliquer les mises à jour de la charge de travail
Cette page explique comment activer, afficher et appliquer les mises à jour de la charge de travail pour les dossiers Assured Workloads. Assured Workloads met régulièrement à jour ses packages de contrôle avec de nouveaux paramètres et des améliorations générales, telles que des valeurs de contrainte de règles d'administration mises à jour. Cette fonctionnalité vous permet d'évaluer votre configuration de dossier Assured Workloads actuelle par rapport à la dernière configuration disponible, et de choisir d'appliquer les mises à jour proposées.
Par défaut, cette fonctionnalité est automatiquement activée pour les nouveaux dossiers de charges de travail assurées. Pour les dossiers existants, nous vous recommandons vivement de suivre la procédure pour activer les mises à jour des charges de travail.
Cette fonctionnalité n'entraîne aucuns frais supplémentaires et n'affecte pas le comportement de la surveillance Assured Workloads. Vous serez toujours alerté lorsque votre dossier ne sera plus conforme à sa configuration actuelle, que des mises à jour de sa configuration soient disponibles ou non.
Présentation des mises à jour de la charge de travail
Lorsque vous créez un dossier Assured Workloads, le type de package de contrôle que vous sélectionnez (par exemple, FedRAMP Moderate) détermine les différents paramètres de configuration appliqués à votre charge de travail. Certains de ces paramètres sont visibles en externe sous la forme de contraintes de règles d'administration, tandis que d'autres ne s'appliquent qu'aux systèmes internes de Google. Assured Workloads utilise un système de gestion des versions de configuration interne pour gérer les modifications apportées à chaque type de package de contrôle.
Lorsqu'une nouvelle version de configuration interne devient disponible, Assured Workloads compare la configuration de votre charge de travail à la nouvelle version interne. Toutes les différences sont analysées, et les améliorations qui en résultent sont disponibles en tant que mise à jour que vous pouvez appliquer à la configuration de votre charge de travail.
Google a vérifié que les mises à jour Assured Workloads disponibles respectent les exigences du package de contrôle de votre charge de travail. Toutefois, il reste de votre responsabilité d'examiner chaque mise à jour disponible pour vous assurer qu'elle répond aux exigences réglementaires ou de conformité de votre organisation. Pour en savoir plus, consultez la section Responsabilité partagée dans Assured Workloads.
Types de mises à jour compatibles
Cette fonctionnalité permet d'afficher et d'appliquer les types de mises à jour suivants sur un dossier Assured Workloads:
Contraintes de règles d'administration: toutes les contraintes de règles d'administration applicables à votre charge de travail et appliquées par Assured Workloads peuvent être incluses dans une mise à jour de la charge de travail, à l'exception des cas suivants:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Avant de commencer
- Identifiez les ID de ressource des dossiers Assured Workloads pour lesquels vous souhaitez activer les mises à jour.
- Attribuez ou vérifiez les autorisations IAM sur les dossiers et les charges de travail Assured Workloads cibles.
Autorisations IAM requises
Pour activer, afficher ou appliquer des mises à jour de la charge de travail, l'appelant doit disposer d'autorisations IAM à l'aide d'un rôle prédéfini qui comprend un ensemble d'autorisations plus étendu, ou d'un rôle personnalisé qui est limité aux autorisations minimales nécessaires. Notez que l'autorisation orgpolicy.policy.set requise n'est pas disponible pour les rôles personnalisés.
Les autorisations suivantes sont requises :
assuredworkloads.workload.updatesur la charge de travail cible pour activer les mises à jour. Cette autorisation est incluse dans les rôles prédéfinis Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.listsur la charge de travail cible pour afficher les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updatesur la charge de travail cible pour appliquer les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.operations.getsur la charge de travail cible pour obtenir l'état et les résultats d'une opération de mise à jour. Cette autorisation est incluse dans les rôles prédéfinis Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.getsur le dossier cible pour appliquer les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Lecteur des règles d'administration de l'organisation (roles/orgpolicy.policyViewer) et Administrateur des règles d'administration de l'organisation (roles/orgpolicy.policyAdmin).orgpolicy.policy.setsur le dossier cible pour appliquer les mises à jour disponibles. Cette autorisation n'est pas disponible dans les rôles personnalisés, mais elle est incluse dans le rôle prédéfini Administrateur des stratégies de l'organisation (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicyetresourcemanager.folders.setIamPolicysur le dossier cible pour activer les mises à jour. Ces autorisations sont incluses dans le rôle Administrateur IAM de dossier (roles/resourcemanager.folderIamAdmin) et dans d'autres rôles prédéfinis très permissifs.
Activer les mises à jour de la charge de travail
Lorsque vous activez les mises à jour de la charge de travail, l'agent de service Assured Workloads est créé. Le rôle Agent de service Assured Workloads (roles/assuredworkloads.serviceAgent) est ensuite attribué à cet agent de service dans le dossier Assured Workloads cible. Ce rôle permet à l'agent de service de rechercher les mises à jour disponibles dans le dossier.
Pour activer les mises à jour de la charge de travail, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Assured Workloads.
En haut de la page, dans le volet Présentation des mises à jour de conformité, cliquez sur Activer les mises à jour de conformité.
Lorsque vous êtes invité à Activer les mises à jour de conformité, cliquez sur Activer.
Les mises à jour des charges de travail sont désormais activées pour tous les dossiers Assured Workloads de votre organisation.
REST
La méthode enableComplianceUpdates permet à Assured Workloads de vous informer des mises à jour d'un seul dossier Assured Workloads.
Méthode HTTP, URL et paramètres de requête:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
- ENDPOINT_URI: URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple
https://us-west1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-west1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID: ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID: emplacement du dossier Assured Workloads (par exemple,
us-west1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID: ID de la charge de travail Assured Workloads pour laquelle activer les mises à jour (par exemple,
00-701ea036-7152-4780-a867-9f5).
Exemple :
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesAfficher les mises à jour de la charge de travail
Pour afficher les mises à jour des charges de travail, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Assured Workloads.
Dans la colonne Nom, cliquez sur le nom du dossier "Charges de travail Assured" pour lequel vous souhaitez afficher les mises à jour. Si des mises à jour sont disponibles pour le dossier, vous pouvez également cliquer sur le lien de la colonne Mises à jour.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Si elles sont disponibles, les mises à jour des règles d'administration s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte qui seront appliqués par la mise à jour.
REST
La méthode organizations.locations.workloads.updates.list liste les mises à jour disponibles pour une charge de travail Assured Workloads.
Méthode HTTP, URL et paramètres de requête:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
- ENDPOINT_URI: URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple
https://us-central1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-central1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID: ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID: emplacement du dossier Assured Workloads (par exemple,
us-central1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID: ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles (par exemple,
00-701ea036-7152-4780-a867-9f5). - PAGE_SIZE (facultatif): limite le nombre de mises à jour à renvoyer dans la réponse. Si elle n'est pas spécifiée, la valeur par défaut est
20. La valeur maximale est100. - PAGE_TOKEN (facultatif): lorsqu'une ou plusieurs pages sont disponibles, un jeton pour la page suivante est renvoyé dans la réponse JSON (par exemple,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ). Si ce paramètre n'est pas spécifié, aucune page ultérieure n'est renvoyée.
Exemple :
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSi l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Appliquer les mises à jour de la charge de travail
L'application d'une mise à jour de charge de travail à une charge de travail est une opération de longue durée. Si la configuration de votre charge de travail change après le démarrage de l'opération et avant sa fin, une erreur peut se produire.
De plus, les mises à jour des charges de travail sont régulièrement réévaluées par rapport à la dernière configuration disponible. Dans ce cas, des mises à jour supplémentaires peuvent être disponibles immédiatement après avoir appliqué une mise à jour.
Pour appliquer des mises à jour de charge de travail, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Assured Workloads.
Dans la colonne Nom, cliquez sur le nom du dossier "Charges de travail Assured" pour lequel vous souhaitez afficher les mises à jour. Si des mises à jour sont disponibles pour le dossier, vous pouvez également cliquer sur le lien de la colonne Mises à jour.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Si elles sont disponibles, les mises à jour des règles d'administration s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte mis à jour.
Cliquez sur Mettre à jour la règle d'administration de l'organisation pour appliquer la mise à jour.
L'opération de mise à jour de longue durée commence, et les nouveaux paramètres de règles d'administration du dossier sont appliqués.
REST
La méthode organizations.locations.workloads.updates.apply applique la mise à jour spécifiée pour une charge de travail Assured Workloads.
Méthode HTTP, URL et paramètres de requête:
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Remplacez les valeurs d'espace réservé suivantes par les vôtres:
- ENDPOINT_URI: URI du point de terminaison de service Assured Workloads.
Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple
https://us-central1-assuredworkloads.googleapis.compour une charge de travail régionalisée dans la régionus-central1ethttps://us-assuredworkloads.googleapis.compour une charge de travail multirégionale aux États-Unis. - ORGANIZATION_ID: ID de l'organisation du dossier "Charges de travail assurées" (par exemple,
919698201234). - LOCATION_ID: emplacement du dossier Assured Workloads (par exemple,
us-central1ouus). Il correspond à la valeurdata regionde la charge de travail. - WORKLOAD_ID: ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles (par exemple,
00-701ea036-7152-4780-a867-9f5). - UPDATE_ID: ID de la mise à jour à appliquer, sélectionné dans la liste des mises à jour disponibles renvoyées par la méthode
organizations.locations.workloads.updates.list(par exemple,edb84871-833b-45ec-9c00-c9b5c19d2d87).
Corps de la requête :
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Exemple :
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Pour obtenir l'état d'une opération de mise à jour de longue durée, utilisez l'ID d'opération dans la valeur name de la réponse JSON. Dans l'exemple précédent, l'ID d'opération est 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Envoyez ensuite la requête suivante, en remplaçant les valeurs d'espace réservé par les vôtres:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Exemple :
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSi l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }