Applicare gli aggiornamenti del carico di lavoro
Questa pagina descrive come abilitare, visualizzare e applicare gli aggiornamenti dei carichi di lavoro per Cartelle Assured Workloads. Assured Workloads si aggiorna regolarmente i suoi pacchetti di controllo con impostazioni e miglioramenti generali, tra cui l'aggiornamento dei criteri dell'organizzazione dei vincoli. Questa funzione ti consente di valutare il tuo rendimento Configurazione della cartella Assured Workloads rispetto all'ultima versione disponibile configurazione e scegliere di applicare gli aggiornamenti proposti.
Per impostazione predefinita, questa funzionalità viene attivata automaticamente per le nuove Cartelle Assured Workloads. Per le cartelle esistenti, ti consigliamo vivamente che devi seguire la procedura per abilitare gli aggiornamenti dei carichi di lavoro.
Questa funzionalità non comporta costi aggiuntivi, né influisce sulle comportamento di Monitoraggio di Assured Workloads; verrai comunque avvisato quando la cartella non è conforme alle sue configurazione attuale, a prescindere dal fatto che gli aggiornamenti disponibili.
Panoramica degli aggiornamenti dei carichi di lavoro
Quando crei una nuova cartella Assured Workloads, il tipo di pacchetto di controllo selezionato, ad esempio FedRAMP Moderate, determina le varie impostazioni di configurazione applicate al carico di lavoro. Alcune di queste impostazioni sono visibili all'esterno sotto forma di vincoli delle norme dell'organizzazione, mentre altre sono applicabili solo ai sistemi interni di Google. Assured Workloads usa un sistema di controllo delle versioni della configurazione interno e mantenere le modifiche per ciascun tipo di pacchetto di controlli.
Quando diventa disponibile una nuova versione di configurazione interna, Assured Workloads confronta la configurazione del carico di lavoro con la nuova versione interna. Vengono analizzate le eventuali differenze e i miglioramenti risultanti disponibili sotto forma di aggiornamento da applicare configurazione.
Gli aggiornamenti di Assured Workloads disponibili sono stati verificati da Google per essere conforme ai requisiti del pacchetto di controlli del carico di lavoro. Tuttavia, è comunque tua responsabilità esaminare ogni aggiornamento disponibile per assicurarti che soddisfi i requisiti normativi o di conformità della tua organizzazione. Consulta: Responsabilità condivisa in Assured Workloads per ulteriori informazioni.
Tipi di aggiornamento supportati
Questa funzionalità supporta la visualizzazione e l'applicazione dei seguenti tipi di aggiornamenti in una cartella Assured Workloads:
Vincoli dei criteri dell'organizzazione: tutti i vincoli dei criteri dell'organizzazione che sono applicabili al tuo carico di lavoro e vengono applicate da Assured Workloads può essere incluso in un aggiornamento del carico di lavoro, con le seguenti eccezioni:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Prima di iniziare
- Identifica gli ID risorsa per le cartelle Assured Workloads per per abilitare gli aggiornamenti.
- Assegna o verifica le autorizzazioni IAM per le cartelle e i carichi di lavoro di Carichi di lavoro garantiti di destinazione.
Autorizzazioni IAM richieste
Per attivare, visualizzare o applicare gli aggiornamenti del carico di lavoro, all'utente che chiama devono essere concesse le autorizzazioni IAM utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie. Tieni presente che l'autorizzazione orgpolicy.policy.set richiesta
non è disponibile per l'uso nei ruoli personalizzati.
Sono richieste le seguenti autorizzazioni:
assuredworkloads.workload.updatesul carico di lavoro di destinazione per abilitare gli aggiornamenti. Questa autorizzazione è inclusa nei ruoli predefiniti Assured Workloads Editor (roles/assuredworkloads.editor) e Assured Workloads Admin (roles/assuredworkloads.admin).assuredworkloads.updates.listsul carico di lavoro target per visualizzare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nel Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), e Amministratore Assured Workloads (roles/assuredworkloads.admin) ruoli predefiniti.assuredworkloads.updates.updatesul carico di lavoro di destinazione da applicare aggiornamenti. Questa autorizzazione è inclusa nel Editor di Assured Workloads (roles/assuredworkloads.editor), e Amministratore Assured Workloads (roles/assuredworkloads.admin) ruoli predefiniti.assuredworkloads.operations.getsul carico di lavoro di destinazione per ottenere lo stato e i risultati di un'operazione di aggiornamento. Questa autorizzazione è inclusa nel Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), e Amministratore Assured Workloads (roles/assuredworkloads.admin) ruoli predefiniti.orgpolicy.policy.getnella cartella di destinazione per applicare gli aggiornamenti disponibili. Questo è inclusa nel Visualizzatore criteri organizzazione (roles/orgpolicy.policyViewer) e Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) ruoli predefiniti.orgpolicy.policy.setnella cartella di destinazione per applicare gli aggiornamenti disponibili. Questo autorizzazione non è supportata nei ruoli personalizzati, ma è inclusa nel Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) ruolo predefinito.resourcemanager.folders.getIamPolicyeresourcemanager.folders.setIamPolicynella cartella di destinazione per abilitare gli aggiornamenti. Queste autorizzazioni sono incluse nel ruolo Amministratore IAM delle cartelle (roles/resourcemanager.folderIamAdmin) e in altri ruoli predefiniti altamente permissivi.
Abilita gli aggiornamenti dei carichi di lavoro
Quando abiliti gli aggiornamenti dei carichi di lavoro,
Agente di servizio Assured Workloads
viene creato. A questo agente di servizio viene quindi concesso
Agente di servizio Assured Workloads (roles/assuredworkloads.serviceAgent)
per la cartella Assured Workloads di destinazione. Questo ruolo consente
da parte dell'agente di servizio per verificare
la presenza di eventuali aggiornamenti disponibili per la cartella.
Per attivare gli aggiornamenti dei carichi di lavoro:
Console
Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Nella parte superiore della pagina, nel riquadro Introduzione agli aggiornamenti della conformità, fai clic su Attiva gli aggiornamenti della conformità.
Quando viene richiesto se abilitare gli aggiornamenti di conformità?, fai clic su Abilita.
Gli aggiornamenti dei carichi di lavoro sono ora abilitati per tutte le cartelle Assured Workloads che fa parte della tua organizzazione.
REST
Il metodo
enableComplianceUpdates
consente ad Assured Workloads di inviarti una notifica per gli aggiornamenti di una singola
cartella Assured Workloads.
Metodo HTTP, URL e parametri di query:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Sostituisci i seguenti valori segnaposto con i tuoi valori:
- ENDPOINT_URI: Assured Workloads
URI endpoint di servizio.
Questo URI deve essere l'endpoint corrispondente alla posizione della destinazione
ad esempio
https://us-west1-assuredworkloads.googleapis.comper un carico di lavoro dei carichi di lavoro regionalizzati nella regioneus-west1https://us-assuredworkloads.googleapis.comper un carico di lavoro multiregionale in negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per
Cartella Assured Workloads, ad esempio
919698201234. - LOCATION_ID: la località dei carichi di lavoro Assured Workloads
, ad esempio
us-west1ous. Corrisponde alla Valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads
per cui attivare gli aggiornamenti, ad esempio
00-701ea036-7152-4780-a867-9f5.
Ad esempio:
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesVisualizza gli aggiornamenti del carico di lavoro
Per visualizzare gli aggiornamenti del carico di lavoro:
Console
Nella console Google Cloud, vai a Assured Workloads. .
Nella colonna Nome, fai clic sul nome di Assured Workloads cartella per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
In Aggiornamenti disponibili, fai clic su Esamina gli aggiornamenti disponibili.
Se disponibili, gli aggiornamenti dei criteri dell'organizzazione vengono visualizzati nella scheda Criteri dell'organizzazione. Esamina il criterio dell'organizzazione interessato e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo che verrà applicato dall'aggiornamento.
REST
La
organizations.locations.workloads.updates.list
che elenca gli aggiornamenti disponibili per un carico di lavoro Assured Workloads.
Metodo HTTP, URL e parametri di query:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Sostituisci i seguenti valori segnaposto con i tuoi:
- ENDPOINT_URI: l'URI dell'endpoint del servizio Assured Workloads.
Questo URI deve essere l'endpoint corrispondente alla località del carico di lavoro di destinazione, ad esempio
https://us-central1-assuredworkloads.googleapis.comper un carico di lavoro regionalizzato nella regioneus-central1ehttps://us-assuredworkloads.googleapis.comper un carico di lavoro multi-regione negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per la
cartella Workload garantiti, ad esempio
919698201234. - LOCATION_ID: la località dei carichi di lavoro Assured Workloads
, ad esempio
us-central1ous. Corrisponde al valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads per il quale elencare gli aggiornamenti disponibili, ad esempio
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (Facoltativo) Limita il numero di aggiornamenti da restituire nella risposta. Se non specificato, il valore predefinito è impostato su
20. Il valore massimo è100. - PAGE_TOKEN (Facoltativo) Quando sono disponibili una o più pagine,
viene restituito nella risposta JSON un token per la pagina successiva,
ad esempio
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se non specificato, non viene vengono restituite le pagine successive.
Ad esempio:
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSe l'operazione ha esito positivo, riceverai una risposta JSON simile all'esempio riportato di seguito:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Applicare gli aggiornamenti del carico di lavoro
L'applicazione di un aggiornamento a un carico di lavoro è un'operazione a lunga esecuzione. Se la configurazione del tuo carico di lavoro cambia dopo l'avvio dell'operazione e prima del completamento, potrebbe verificarsi un errore.
Inoltre, gli aggiornamenti dei carichi di lavoro vengono periodicamente rivalutati in base ai configurazione disponibile. In questo caso, potrebbero essere disponibili aggiornamenti aggiuntivi immediatamente dopo l'applicazione di un aggiornamento.
Per applicare gli aggiornamenti del carico di lavoro, completa i seguenti passaggi:
Console
Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Nella colonna Nome, fai clic sul nome di Assured Workloads cartella per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
In Aggiornamenti disponibili, fai clic su Esamina gli aggiornamenti disponibili.
Se disponibili, gli aggiornamenti dei criteri dell'organizzazione vengono mostrati in Scheda Criterio dell'organizzazione. Esamina il vincolo del criterio dell'organizzazione interessato e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo aggiornate.
Fai clic su Aggiorna criterio dell'organizzazione per applicare l'aggiornamento.
Viene avviata l'operazione di aggiornamento a lunga esecuzione e la nuova organizzazione della cartella verranno applicate le impostazioni dei criteri.
REST
Il metodo
organizations.locations.workloads.updates.apply
applica l'aggiornamento specificato per un carico di lavoro Assured Workloads.
Metodo HTTP, URL e parametri di query:
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Sostituisci i seguenti valori segnaposto con i tuoi:
- ENDPOINT_URI: l'URI dell'endpoint del servizio Assured Workloads.
Questo URI deve essere l'endpoint corrispondente alla posizione della destinazione
carico di lavoro, ad esempio
https://us-central1-assuredworkloads.googleapis.comun carico di lavoro regionalizzato nella regioneus-central1https://us-assuredworkloads.googleapis.comper un carico di lavoro multiregionale in negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per la
cartella Workload garantiti, ad esempio
919698201234. - LOCATION_ID: la località dei carichi di lavoro Assured Workloads
, ad esempio
us-central1ous. Corrisponde al valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads per il quale elencare gli aggiornamenti disponibili, ad esempio
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: l'ID dell'aggiornamento da applicare, selezionato dall'elenco
degli aggiornamenti disponibili restituiti
organizations.locations.workloads.updates.listad esempioedb84871-833b-45ec-9c00-c9b5c19d2d87.
Corpo della richiesta:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Ad esempio:
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Se l'operazione ha esito positivo, riceverai una risposta JSON simile all'esempio riportato di seguito:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Per ottenere lo stato di un'operazione di aggiornamento a lunga esecuzione, utilizza l'ID operazione
nel valore name della risposta JSON. Nell'esempio precedente, l'ID operazione è 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Quindi esegui la
seguente, sostituendo i valori segnaposto con i tuoi:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Ad esempio:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSe l'operazione ha esito positivo, riceverai una risposta JSON simile all'esempio riportato di seguito:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }