Esta página foi traduzida pela API Cloud Translation.

Aplicar atualizações de carga de trabalho

Esta página descreve como ativar, visualizar e aplicar atualizações de carga de trabalho para pastas do Assured Workloads. O Assured Workloads atualiza regularmente os pacotes de controle com novas configurações e melhorias gerais, como valores de restrição de política da organização atualizados. Esse recurso permite avaliar a configuração atual da pasta do Assured Workloads em comparação com a configuração mais recente disponível e aplicar as atualizações propostas.

Por padrão, esse recurso é ativado automaticamente para novas pastas de cargas de trabalho garantidas. Para pastas existentes, recomendamos seguir as etapas para ativar atualizações de carga de trabalho.

Esse recurso não gera custos adicionais nem afeta o comportamento do monitoramento do Assured Workloads. Você ainda vai receber um alerta quando a pasta não estiver em conformidade com a configuração atual, mesmo que atualizações estejam disponíveis.

Visão geral das atualizações de carga de trabalho

Quando você cria uma nova pasta do Assured Workloads, o tipo de pacote de controle que você seleciona, como o FedRAMP Moderado, determina as várias configurações aplicadas à carga de trabalho. Algumas dessas configurações são visíveis externamente na forma de restrições de política da organização, mas outras são aplicáveis apenas aos sistemas internos do Google. O Assured Workloads usa um sistema interno de controle de versões de configuração para manter as mudanças em cada tipo de pacote de controle.

Quando uma nova versão de configuração interna fica disponível, o Assured Workloads compara a configuração da carga de trabalho com a nova versão interna. Todas as diferenças são analisadas, e as melhorias resultantes ficam disponíveis como uma atualização que pode ser aplicada à configuração da carga de trabalho.

As atualizações disponíveis do Assured Workloads foram verificadas pelo Google para estar em conformidade com os requisitos do pacote de controle da sua carga de trabalho. No entanto, ainda é sua responsabilidade analisar cada atualização disponível para garantir que ela atenda aos requisitos regulamentares ou de compliance da sua organização. Consulte Responsabilidade compartilhada no Assured Workloads para mais informações.

Tipos de atualização aceitos

Esse recurso oferece suporte para visualizar e aplicar os seguintes tipos de atualizações em uma pasta do Assured Workloads:

Restrições da política da organização: qualquer restrição da política da organização que seja aplicável à sua carga de trabalho e aplicada pelo Assured Workloads pode ser incluída em uma atualização de carga de trabalho, com as seguintes exceções:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Observação: as atualizações do gcp.restrictServiceUsage estão disponíveis no console do Google Cloud, mas não quando você usa a API Assured Workloads. Por exemplo, você não vai receber atualizações de gcp.restrictServiceUsage ao chamar o método updates, conforme descrito na seção Conferir atualizações de carga de trabalho.

Antes de começar

Identifique os IDs de recursos das pastas do Assured Workloads para ativar as atualizações.
Atribua ou verifique as permissões do IAM nas pastas e cargas de trabalho Assured Workloads de destino.

Permissões do IAM obrigatórias

Para ativar, visualizar ou aplicar atualizações de carga de trabalho, o autor da chamada precisa receber permissões do IAM usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias. A permissão orgpolicy.policy.set necessária não está disponível para uso em papéis personalizados.

As seguintes permissões são necessárias:

assuredworkloads.workload.update na carga de trabalho de destino para ativar as atualizações. Essa permissão está incluída nos papéis predefinidos Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list na carga de trabalho de destino para conferir as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.update na carga de trabalho de destino para aplicar as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.operations.get na carga de trabalho de destino para conferir o status e os resultados de uma operação de atualização. Essa permissão está incluída nos papéis predefinidos Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get na pasta de destino para aplicar as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos Leitor da política da organização (roles/orgpolicy.policyViewer) e Administrador da política da organização (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set na pasta de destino para aplicar as atualizações disponíveis. Essa permissão não é aceita em papéis personalizados, mas está incluída no papel predefinido de Administrador da política da organização (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy e resourcemanager.folders.setIamPolicy na pasta de destino para ativar as atualizações. Essas permissões estão incluídas no papel de Administrador do IAM de pastas (roles/resourcemanager.folderIamAdmin) e em outros papéis predefinidos altamente permissivos.

Ativar atualizações de carga de trabalho

Quando você ativa as atualizações de carga de trabalho, o agente de serviço do Assured Workloads é criado. Esse agente de serviço recebe o papel de Agente de serviço do Assured Workloads (roles/assuredworkloads.serviceAgent) na pasta de destino do Assured Workloads. Esse papel permite que o agente de serviço verifique se há atualizações disponíveis na pasta.

Para ativar as atualizações de carga de trabalho, siga estas etapas:

Console

No console do Google Cloud, acesse a página Assured Workloads.

Acesse o Assured Workloads
Na parte de cima da página, no painel Introdução às atualizações de compliance, clique em Ativar atualizações de compliance.
Quando for solicitado que você Ative as atualizações de compliance?, clique em Ativar.

As atualizações de carga de trabalho agora estão ativadas para todas as pastas do Assured Workloads na sua organização.

REST

O método enableComplianceUpdates permite que o Assured Workloads notifique você sobre atualizações em uma única pasta do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Substitua os valores dos marcadores de posição a seguir pelos seus próprios:

ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads. Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como https://us-west1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-west1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregião nos EUA.
ORGANIZATION_ID: o ID da organização para a pasta "Assured Workloads" (Carga de trabalho garantida), por exemplo, 919698201234.
LOCATION_ID: o local da pasta Assured Workloads. Por exemplo, us-west1 ou us. Ele corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para ativar as atualizações. Por exemplo, 00-701ea036-7152-4780-a867-9f5.

Exemplo:

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Conferir atualizações da carga de trabalho

Para conferir as atualizações de carga de trabalho, siga estas etapas:

Console

No console do Google Cloud, acesse a página Assured Workloads.

Acesse o Assured Workloads
Na coluna Nome, clique no nome da pasta de cargas de trabalho garantidas que você quer conferir as atualizações. Se houver atualizações disponíveis para a pasta, clique no link na coluna Updates.
Em Atualizações disponíveis, clique em Consultar atualizações disponíveis.
Se disponível, as atualizações da política da organização são mostradas na guia Política da organização. Analise a restrição da política da organização afetada e clique em Visualizar atualização para conferir as configurações de restrição que serão aplicadas pela atualização.

REST

O método organizations.locations.workloads.updates.list lista as atualizações disponíveis para uma carga de trabalho do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Substitua os valores dos marcadores de posição a seguir pelos seus próprios:

ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads. Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional nos EUA.
ORGANIZATION_ID: o ID da organização para a pasta "Assured Workloads" (Carga de trabalho garantida), por exemplo, 919698201234.
LOCATION_ID: o local da pasta Assured Workloads. Por exemplo, us-central1 ou us. Ele corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para listar as atualizações disponíveis. Por exemplo, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (opcional): limita o número de atualizações a serem retornadas na resposta. Se não for especificado, o valor padrão será 20. O valor máximo é 100.
PAGE_TOKEN (opcional): quando uma ou mais páginas estão disponíveis, um token para a próxima página é retornado na resposta JSON, por exemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se não for especificado, nenhuma página subsequente será retornada.

Exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Se for bem-sucedido, você receberá uma resposta JSON semelhante a esta exemplo:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplicar atualizações de carga de trabalho

Aplicar uma atualização de carga de trabalho a uma carga de trabalho é uma operação de longa duração. Se a configuração da carga de trabalho mudar após o início da operação e antes da conclusão, um erro poderá ocorrer.

Além disso, as atualizações de carga de trabalho são reavaliadas periodicamente com base na configuração mais recente disponível. Nesse caso, outras atualizações podem estar disponíveis imediatamente após a aplicação de uma atualização.

Para aplicar atualizações de carga de trabalho, siga estas etapas:

Console

No console do Google Cloud, acesse a página Assured Workloads.

Acesse o Assured Workloads
Na coluna Nome, clique no nome da pasta de cargas de trabalho garantidas que você quer conferir as atualizações. Se houver atualizações disponíveis para a pasta, clique no link na coluna Updates.
Em Atualizações disponíveis, clique em Consultar atualizações disponíveis.
Se disponível, as atualizações da política da organização são mostradas na guia Política da organização. Revise a restrição da política da organização afetada e clique em Ver atualização para conferir as configurações atualizadas da restrição.
Clique em Atualizar política da organização para aplicar a atualização.

A operação de atualização de longa duração é iniciada, e as novas configurações de política da organização da pasta são aplicadas.

REST

O método organizations.locations.workloads.updates.apply aplica a atualização especificada para uma carga de trabalho do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Substitua os valores dos marcadores de posição a seguir pelos seus próprios:

ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads. Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional nos EUA.
ORGANIZATION_ID: o ID da organização para a pasta "Assured Workloads" (Carga de trabalho garantida), por exemplo, 919698201234.
LOCATION_ID: o local da pasta Assured Workloads. Por exemplo, us-central1 ou us. Ele corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para listar as atualizações disponíveis. Por exemplo, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: o ID da atualização a ser aplicada, selecionado na lista de atualizações disponíveis retornadas pelo método organizations.locations.workloads.updates.list, por exemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Corpo da solicitação:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Exemplo:

POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Se for bem-sucedido, você receberá uma resposta JSON semelhante a esta exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para conferir o status de uma operação de atualização de longa duração, use o ID da operação no valor name da resposta JSON. No exemplo anterior, o ID da operação é 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Em seguida, faça a solicitação abaixo, substituindo os valores de marcador de posição pelos seus próprios:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Se for bem-sucedido, você receberá uma resposta JSON semelhante a esta exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}