Menerapkan update beban kerja
Halaman ini menjelaskan cara mengaktifkan, melihat, dan menerapkan update workload untuk folder Workload Terjamin. Assured Workloads secara rutin mengupdate paket kontrol dengan setelan baru dan peningkatan umum, seperti nilai batasan kebijakan organisasi yang diperbarui. Fitur ini memungkinkan Anda mengevaluasi konfigurasi folder Assured Workloads saat ini berdasarkan konfigurasi terbaru yang tersedia, dan memilih untuk menerapkan update yang diusulkan.
Secara default, fitur ini diaktifkan secara otomatis untuk folder Assured Workloads baru. Untuk folder yang ada, sebaiknya Anda mengikuti langkah-langkah untuk mengaktifkan update workload.
Fitur ini tidak menimbulkan biaya tambahan, dan tidak memengaruhi perilaku pemantauan Assured Workloads; Anda akan tetap mendapatkan pemberitahuan saat folder tidak mematuhi konfigurasinya saat ini, terlepas dari apakah update pada konfigurasinya tersedia.
Ringkasan update beban kerja
Saat Anda membuat folder Assured Workloads baru, jenis paket kontrol yang Anda pilih—seperti FedRAMP Moderate—akan menentukan berbagai setelan konfigurasi yang diterapkan pada beban kerja Anda. Beberapa setelan ini terlihat secara eksternal dalam bentuk batasan kebijakan organisasi, meskipun setelan lainnya hanya berlaku untuk sistem internal Google. Assured Workloads menggunakan sistem pembuatan versi konfigurasi internal untuk mempertahankan perubahan untuk setiap jenis paket kontrol.
Saat versi konfigurasi internal baru tersedia, Assured Workloads akan membandingkan konfigurasi beban kerja Anda dengan versi internal baru. Perbedaan apa pun akan dianalisis, dan peningkatan yang dihasilkan akan tersedia sebagai update yang dapat Anda terapkan ke konfigurasi workload.
Update Assured Workloads yang tersedia telah diverifikasi oleh Google untuk mematuhi persyaratan paket kontrol beban kerja Anda. Namun, Anda tetap bertanggung jawab untuk meninjau setiap update yang tersedia guna memastikan update tersebut memenuhi persyaratan peraturan atau kepatuhan organisasi Anda. Lihat Tanggung jawab bersama di Assured Workloads untuk mengetahui informasi selengkapnya.
Jenis update yang didukung
Fitur ini mendukung tampilan dan penerapan jenis update berikut di folder Workload Terjamin:
Batasan kebijakan organisasi: Setiap batasan kebijakan organisasi yang berlaku untuk workload Anda dan diterapkan oleh Assured Workloads dapat disertakan dalam update workload, dengan pengecualian berikut:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Sebelum memulai
- Identifikasi ID resource untuk folder Assured Workloads yang akan mengaktifkan update.
- Tetapkan atau verifikasi izin IAM di folder dan beban kerja Assured Workloads target.
Izin IAM yang diperlukan
Untuk mengaktifkan, melihat, atau menerapkan update beban kerja, pemanggil harus diberi
izin IAM menggunakan
peran bawaan yang menyertakan
kumpulan izin yang lebih luas, atau
peran khusus yang dibatasi pada izin minimum
yang diperlukan. Perhatikan bahwa izin orgpolicy.policy.set yang diperlukan
tidak tersedia untuk digunakan dalam peran kustom.
Izin berikut diperlukan:
assuredworkloads.workload.updatepada beban kerja target untuk mengaktifkan update. Izin ini disertakan dalam peran bawaan Assured Workloads Editor (roles/assuredworkloads.editor) dan Assured Workloads Admin (roles/assuredworkloads.admin).assuredworkloads.updates.listpada workload target untuk melihat update yang tersedia. Izin ini disertakan dalam peran standar Pembaca Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), dan Admin Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updatepada workload target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran yang telah ditentukan sebelumnya, yaitu Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).assuredworkloads.operations.getpada workload target untuk mendapatkan status dan hasil operasi update. Izin ini disertakan dalam peran standar Pembaca Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), dan Admin Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.getdi folder target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran bawaan Organization Policy Viewer (roles/orgpolicy.policyViewer) dan Organization Policy Administrator (roles/orgpolicy.policyAdmin).orgpolicy.policy.setdi folder target untuk menerapkan update yang tersedia. Izin ini tidak didukung dalam peran kustom, tetapi disertakan dalam peran bawaan Organization Policy Administrator (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicydanresourcemanager.folders.setIamPolicydi folder target untuk mengaktifkan update. Izin ini disertakan dalam peran Folder IAM Admin (roles/resourcemanager.folderIamAdmin) dan peran bawaan lainnya yang sangat permisif.
Mengaktifkan update beban kerja
Saat Anda mengaktifkan update workload, Assured Workloads Service Agent
akan dibuat. Agen layanan ini kemudian diberi peran
Assured Workloads Service Agent (roles/assuredworkloads.serviceAgent)
di folder Assured Workloads target. Peran ini memungkinkan
agen layanan memeriksa apakah ada update yang tersedia di folder.
Untuk mengaktifkan update workload, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Workloads Terjamin.
Di bagian atas halaman pada panel Memperkenalkan Pembaruan Kepatuhan, klik Aktifkan pembaruan kepatuhan.
Saat diminta untuk Mengaktifkan pembaruan kepatuhan?, klik Aktifkan.
Update workload kini diaktifkan untuk semua folder Assured Workloads di organisasi Anda.
REST
Metode
enableComplianceUpdates
memungkinkan Assured Workloads memberi tahu Anda tentang update untuk
satu folder Assured Workloads.
Metode HTTP, URL, dan parameter kueri:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Ganti nilai placeholder berikut dengan nilai Anda sendiri:
- ENDPOINT_URI: URI endpoint layanan
Assured Workloads.
URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti
https://us-west1-assuredworkloads.googleapis.comuntuk beban kerja yang diregionalisasi di regionus-west1danhttps://us-assuredworkloads.googleapis.comuntuk beban kerja multi-region di AS. - ORGANIZATION_ID: ID organisasi untuk
folder Assured Workloads—misalnya,
919698201234. - LOCATION_ID: Lokasi folder
Assured Workloads—misalnya,
us-west1atauus. Nilai ini sesuai dengan nilaidata regionbeban kerja. - WORKLOAD_ID: ID beban kerja Assured Workloads
yang akan mengaktifkan update—misalnya,
00-701ea036-7152-4780-a867-9f5.
Contoh:
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesMelihat pembaruan beban kerja
Untuk melihat update workload, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Workloads Terjamin.
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat pembaruannya. Atau, jika update tersedia untuk folder, klik link di kolom Updates.
Di bagian Update yang tersedia, klik Tinjau update yang tersedia.
Jika tersedia, pembaruan kebijakan organisasi akan ditampilkan di tab Kebijakan organisasi. Tinjau batasan kebijakan organisasi yang terpengaruh, lalu klik Lihat pembaruan untuk melihat pratinjau setelan batasan yang akan diterapkan oleh pembaruan.
REST
Metode
organizations.locations.workloads.updates.list
mencantumkan update yang tersedia untuk workload Assured Workloads.
Metode HTTP, URL, dan parameter kueri:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Ganti nilai placeholder berikut dengan nilai Anda sendiri:
- ENDPOINT_URI: URI endpoint layanan
Assured Workloads.
URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti
https://us-central1-assuredworkloads.googleapis.comuntuk beban kerja yang diregionalisasi di regionus-central1danhttps://us-assuredworkloads.googleapis.comuntuk beban kerja multi-region di AS. - ORGANIZATION_ID: ID organisasi untuk
folder Assured Workloads—misalnya,
919698201234. - LOCATION_ID: Lokasi folder
Assured Workloads—misalnya,
us-central1atauus. Nilai ini sesuai dengan nilaidata regionbeban kerja. - WORKLOAD_ID: ID beban kerja Assured Workloads
yang akan mencantumkan update yang tersedia—misalnya,
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (Opsional): Membatasi jumlah update yang akan ditampilkan dalam
respons. Jika tidak ditentukan, nilai defaultnya ditetapkan ke
20. Nilai maksimumnya adalah100. - PAGE_TOKEN (Opsional): Jika satu atau beberapa halaman tersedia,
token untuk halaman berikutnya akan ditampilkan dalam respons JSON—misalnya,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Jika tidak ditentukan, tidak ada halaman berikutnya yang akan ditampilkan.
Contoh:
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesJika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Menerapkan update beban kerja
Menerapkan update beban kerja ke beban kerja adalah operasi yang berjalan lama. Jika konfigurasi beban kerja Anda berubah setelah memulai operasi dan sebelum selesai, error dapat terjadi.
Selain itu, update workload dievaluasi ulang secara berkala berdasarkan konfigurasi terbaru yang tersedia. Dalam hal ini, update tambahan mungkin tersedia segera setelah Anda menerapkan update.
Untuk menerapkan update workload, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Workloads Terjamin.
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat pembaruannya. Atau, jika update tersedia untuk folder, klik link di kolom Updates.
Di bagian Update yang tersedia, klik Tinjau update yang tersedia.
Jika tersedia, pembaruan kebijakan organisasi akan ditampilkan di tab Kebijakan organisasi. Tinjau batasan kebijakan organisasi yang terpengaruh dan klik Lihat pembaruan untuk melihat pratinjau setelan batasan yang diperbarui.
Klik Update organization policy untuk menerapkan pembaruan.
Operasi update yang berjalan lama akan dimulai, dan setelan kebijakan organisasi baru folder akan diterapkan.
REST
Metode
organizations.locations.workloads.updates.apply
menerapkan update yang ditentukan untuk workload
Assurance Workloads.
Metode HTTP, URL, dan parameter kueri:
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Ganti nilai placeholder berikut dengan nilai Anda sendiri:
- ENDPOINT_URI: URI endpoint layanan
Assured Workloads.
URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti
https://us-central1-assuredworkloads.googleapis.comuntuk beban kerja yang diregionalisasi di regionus-central1danhttps://us-assuredworkloads.googleapis.comuntuk beban kerja multi-region di AS. - ORGANIZATION_ID: ID organisasi untuk
folder Assured Workloads—misalnya,
919698201234. - LOCATION_ID: Lokasi folder
Assured Workloads—misalnya,
us-central1atauus. Nilai ini sesuai dengan nilaidata regionbeban kerja. - WORKLOAD_ID: ID beban kerja Assured Workloads
yang akan mencantumkan update yang tersedia—misalnya,
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: ID update yang akan diterapkan, dipilih dari daftar
update yang tersedia yang ditampilkan oleh
metode
organizations.locations.workloads.updates.list—misalnya,edb84871-833b-45ec-9c00-c9b5c19d2d87.
Isi permintaan:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Contoh:
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Untuk mendapatkan status operasi update yang berjalan lama, gunakan ID operasi
dalam nilai name dari respons JSON. Dengan menggunakan contoh sebelumnya, ID operasi adalah 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Kemudian, buat
permintaan berikut, ganti nilai placeholder dengan nilai Anda sendiri:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Contoh:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bJika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }