Applicare gli aggiornamenti dei carichi di lavoro
Questa pagina descrive come attivare, visualizzare e applicare gli aggiornamenti dei carichi di lavoro per le cartelle Assured Workloads. Assured Workloads aggiorna regolarmente i suoi pacchetti di controllo con nuove impostazioni e miglioramenti generali, ad esempio valori di vincolo dei criteri dell'organizzazione aggiornati. Questa funzionalità ti consente di valutare la configurazione attuale della cartella Assured Workloads rispetto alla configurazione più recente disponibile e di scegliere se applicare gli aggiornamenti proposti.
Per impostazione predefinita, questa funzionalità è attivata automaticamente per le nuove cartelle Workload garantiti. Per le cartelle esistenti, ti consigliamo vivamente di seguire i passaggi per abilitare gli aggiornamenti del carico di lavoro.
Questa funzionalità non comporta costi aggiuntivi né influisce sul comportamento del monitoraggio di Assured Workloads. Riceverai comunque un avviso quando la cartella non sarà più conforme alla configurazione attuale, indipendentemente dal fatto che siano disponibili aggiornamenti della configurazione.
Panoramica degli aggiornamenti dei workload
Quando crei una nuova cartella Assured Workloads, il tipo di pacchetto di controllo selezionato, ad esempio FedRAMP Moderate, determina le varie impostazioni di configurazione applicate al carico di lavoro. Alcune di queste impostazioni sono visibili all'esterno sotto forma di vincoli delle norme dell'organizzazione, mentre altre sono applicabili solo ai sistemi interni di Google. Assured Workloads utilizza un sistema di gestione delle versioni della configurazione interna per mantenere le modifiche per ogni tipo di pacchetto di controllo.
Quando diventa disponibile una nuova versione di configurazione interna, Assured Workloads confronta la configurazione del tuo workload con la nuova versione interna. Eventuali differenze vengono analizzate e i miglioramenti risultanti diventano disponibili come aggiornamento che puoi applicare alla configurazione del tuo carico di lavoro.
Gli aggiornamenti di Assured Workloads disponibili sono stati verificati da Google per verificare che siano conformi ai requisiti del pacchetto di controllo del tuo carico di lavoro. Tuttavia, è comunque tua responsabilità esaminare ogni aggiornamento disponibile per assicurarti che soddisfi i requisiti normativi o di conformità della tua organizzazione. Per ulteriori informazioni, consulta Responsabilità condivisa in Assured Workloads.
Tipi di aggiornamento supportati
Questa funzionalità supporta la visualizzazione e l'applicazione dei seguenti tipi di aggiornamenti in una cartella Assured Workloads:
Vincoli dei criteri dell'organizzazione: tutti i vincoli dei criteri dell'organizzazione applicabili al tuo carico di lavoro e applicati da Assured Workloads possono essere inclusi in un aggiornamento del carico di lavoro, con le seguenti eccezioni:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Prima di iniziare
- Identifica gli ID risorsa delle cartelle Assured Workloads per le quali attivare gli aggiornamenti.
- Assegna o verifica le autorizzazioni IAM nelle cartelle e nei carichi di lavoro di Carichi di lavoro garantiti di destinazione.
Autorizzazioni IAM richieste
Per attivare, visualizzare o applicare gli aggiornamenti del carico di lavoro, all'utente che chiama devono essere concesse le autorizzazioni IAM utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie. Tieni presente che l'autorizzazione orgpolicy.policy.set richiesta
non è disponibile per l'uso nei ruoli personalizzati.
Sono richieste le seguenti autorizzazioni:
assuredworkloads.workload.updatesul workload di destinazione per abilitare gli aggiornamenti. Questa autorizzazione è inclusa nei ruoli predefiniti Assured Workloads Editor (roles/assuredworkloads.editor) e Assured Workloads Admin (roles/assuredworkloads.admin).assuredworkloads.updates.listsul carico di lavoro target per visualizzare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor) e Amministratore Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updatesul workload di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Editor di Assured Workloads (roles/assuredworkloads.editor) e Amministratore di Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.operations.getsul carico di lavoro di destinazione per ottenere lo stato e i risultati di un'operazione di aggiornamento. Questa autorizzazione è inclusa nei ruoli predefiniti Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor) e Amministratore Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.getsulla cartella di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Visualizzatore criterio dell'organizzazione (roles/orgpolicy.policyViewer) e Amministratore criterio dell'organizzazione (roles/orgpolicy.policyAdmin).orgpolicy.policy.setsulla cartella di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione non è supportata nei ruoli personalizzati, ma è inclusa nel ruolo predefinito Amministratore norme dell'organizzazione (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicyeresourcemanager.folders.setIamPolicynella cartella di destinazione per attivare gli aggiornamenti. Queste autorizzazioni sono incluse nel ruolo Amministratore IAM delle cartelle (roles/resourcemanager.folderIamAdmin) e in altri ruoli predefiniti altamente permissivi.
Attiva gli aggiornamenti del carico di lavoro
Quando attivi gli aggiornamenti dei carichi di lavoro, viene creato
Assured Workloads Service Agent. A questo agente di servizio viene quindi concesso il ruolo
Agente di servizio Assured Workloads (roles/assuredworkloads.serviceAgent)
nella cartella Assured Workloads di destinazione. Questo ruolo consente all'agente di servizio di verificare la presenza di aggiornamenti disponibili nella cartella.
Per attivare gli aggiornamenti dei carichi di lavoro:
Console
Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Nella parte superiore della pagina, nel riquadro Introduzione agli aggiornamenti della conformità, fai clic su Attiva gli aggiornamenti della conformità.
Quando ti viene chiesto di attivare gli aggiornamenti di conformità, fai clic su Attiva.
Gli aggiornamenti dei workload sono ora abilitati per tutte le cartelle Assured Workloads nella tua organizzazione.
REST
Il metodo
enableComplianceUpdates
consente ad Assured Workloads di inviarti notifiche relative agli aggiornamenti di una singola
cartella Assured Workloads.
Metodo HTTP, URL e parametri di query:
PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Sostituisci i seguenti valori segnaposto con i tuoi:
- ENDPOINT_URI: l'URI dell'endpoint del servizio Assured Workloads.
Questo URI deve essere l'endpoint corrispondente alla posizione del workload di destinazione, ad esempio
https://us-west1-assuredworkloads.googleapis.comper un workload regionalizzato nella regioneus-west1ehttps://us-assuredworkloads.googleapis.comper un workload multi-regione negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per la
cartella Workload garantiti, ad esempio
919698201234. - LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio
us-west1ous. Corrisponde al valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads per il quale attivare gli aggiornamenti, ad esempio
00-701ea036-7152-4780-a867-9f5.
Ad esempio:
PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesVisualizza gli aggiornamenti del workload
Per visualizzare gli aggiornamenti del carico di lavoro:
Console
Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Nella colonna Nome, fai clic sul nome della cartella Workload garantiti per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
In Aggiornamenti disponibili, fai clic su Esamina gli aggiornamenti disponibili.
Se disponibili, gli aggiornamenti delle norme dell'organizzazione vengono visualizzati nella scheda Criteri dell'organizzazione. Esamina il vincolo del criterio dell'organizzazione interessato e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo che verranno applicate dall'aggiornamento.
REST
Il metodo
organizations.locations.workloads.updates.list elenca gli aggiornamenti disponibili per un workload Assured Workloads.
Metodo HTTP, URL e parametri di query:
GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Sostituisci i seguenti valori segnaposto con i tuoi:
- ENDPOINT_URI: l'URI dell'endpoint del servizio Assured Workloads.
Questo URI deve essere l'endpoint corrispondente alla località del workload di destinazione, ad esempio
https://us-central1-assuredworkloads.googleapis.comper un workload regionalizzato nella regioneus-central1ehttps://us-assuredworkloads.googleapis.comper un workload multi-regione negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per la
cartella Workload garantiti, ad esempio
919698201234. - LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio
us-central1ous. Corrisponde al valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads per il quale elencare gli aggiornamenti disponibili, ad esempio
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (Facoltativo) Limita il numero di aggiornamenti da restituire nella risposta. Se non specificato, il valore predefinito è
20. Il valore massimo è100. - PAGE_TOKEN (Facoltativo) Quando sono disponibili una o più pagine, nella risposta JSON viene restituito un token per la pagina successiva, ad esempio
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se non specificato, non verranno restituite altre pagine.
Ad esempio:
GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSe l'operazione riesce, riceverai una risposta JSON simile al seguente esempio:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Applicare gli aggiornamenti dei carichi di lavoro
L'applicazione di un aggiornamento del carico di lavoro a un carico di lavoro è un'operazione che richiede molto tempo. Se la configurazione del carico di lavoro cambia dopo l'avvio dell'operazione e prima del completamento, potrebbe verificarsi un errore.
Inoltre, gli aggiornamenti del workload vengono rivalutati periodicamente in base all'ultima configurazione disponibile. In questo caso, potrebbero essere disponibili aggiornamenti aggiuntivi immediatamente dopo l'applicazione di un aggiornamento.
Per applicare gli aggiornamenti del carico di lavoro:
Console
Nella console Google Cloud, vai alla pagina Carichi di lavoro garantiti.
Nella colonna Nome, fai clic sul nome della cartella Workload garantiti per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
In Aggiornamenti disponibili, fai clic su Esamina gli aggiornamenti disponibili.
Se disponibili, gli aggiornamenti delle norme dell'organizzazione vengono visualizzati nella scheda Criteri dell'organizzazione. Esamina il vincolo del criterio dell'organizzazione interessato e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo aggiornate.
Fai clic su Aggiorna le norme dell'organizzazione per applicare l'aggiornamento.
Viene avviata l'operazione di aggiornamento a lunga esecuzione e verranno applicate le nuove impostazioni dei criteri dell'organizzazione della cartella.
REST
Il metodo
organizations.locations.workloads.updates.apply
applica l'aggiornamento specificato per un workload
Assured Workloads.
Metodo HTTP, URL e parametri di query:
POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Sostituisci i seguenti valori segnaposto con i tuoi:
- ENDPOINT_URI: l'URI dell'endpoint del servizio Assured Workloads.
Questo URI deve essere l'endpoint corrispondente alla località del workload di destinazione, ad esempio
https://us-central1-assuredworkloads.googleapis.comper un workload regionalizzato nella regioneus-central1ehttps://us-assuredworkloads.googleapis.comper un workload multi-regione negli Stati Uniti. - ORGANIZATION_ID: l'ID organizzazione per la
cartella Workload garantiti, ad esempio
919698201234. - LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio
us-central1ous. Corrisponde al valoredata regiondel carico di lavoro. - WORKLOAD_ID: l'ID del carico di lavoro Assured Workloads per il quale elencare gli aggiornamenti disponibili, ad esempio
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: l'ID dell'aggiornamento da applicare, selezionato dall'elenco
di aggiornamenti disponibili restituito dal metodo
organizations.locations.workloads.updates.list, ad esempioedb84871-833b-45ec-9c00-c9b5c19d2d87.
Corpo della richiesta:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Ad esempio:
POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Se l'operazione riesce, riceverai una risposta JSON simile al seguente esempio:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Per ottenere lo stato di un'operazione di aggiornamento di lunga durata, utilizza l'ID operazione nel valore name della risposta JSON. Nell'esempio precedente, l'ID operazione è 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Quindi, effettua la seguente richiesta, sostituendo i valori segnaposto con i tuoi:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Ad esempio:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSe l'operazione riesce, riceverai una risposta JSON simile al seguente esempio:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }