Esta página foi traduzida pela API Cloud Translation.

Aplicar atualizações de carga de trabalho

Nesta página, descrevemos como ativar, visualizar e aplicar atualizações de cargas de trabalho pastas do Assured Workloads. O Assured Workloads é atualizado regularmente os pacotes de controle com novas e melhorias gerais, como a atualização da política da organização valores de restrição. Com esse recurso, você pode avaliar Configuração de pasta do Assured Workloads com a versão mais recente disponível e opte por aplicar as atualizações propostas.

Por padrão, esse recurso é ativado automaticamente para novas pastas de cargas de trabalho garantidas. Para pastas que já existem, recomendamos siga as etapas para ativar atualizações de cargas de trabalho.

Esse recurso não gera cobranças adicionais nem afeta o comportamento Monitoramento do Assured Workloads ainda receberá um alerta quando a pasta não estiver em conformidade com com a configuração atual, independentemente de as atualizações serem disponíveis.

Visão geral das atualizações da carga de trabalho

Quando você cria uma nova pasta do Assured Workloads, controlar o tipo de pacote que você selecionar, como o nível médio do FedRAMP, determina as várias configurações que são aplicadas à sua carga de trabalho. Algumas dessas configurações são visíveis externamente na forma de restrições de políticas da organização, outros são aplicáveis somente aos sistemas internos do Google. O Assured Workloads usa um sistema interno de controle de versões de configuração para manter as mudanças em cada tipo de pacote de controle.

Quando uma nova versão de configuração interna fica disponível, o Assured Workloads compara a configuração da carga de trabalho com a nova versão interna. Todas as diferenças são analisadas, e as melhorias resultantes ficam disponíveis como uma atualização que pode ser aplicada à configuração da carga de trabalho.

As atualizações disponíveis do Assured Workloads foram verificadas pelo Google para estar em conformidade com os requisitos do pacote de controle da sua carga de trabalho. No entanto, ainda é sua responsabilidade analisar cada atualização disponível para garantir que ela atenda aos requisitos regulamentares ou de compliance da sua organização. Consulte Responsabilidade compartilhada no Assured Workloads para mais informações.

Tipos de atualização com suporte

Esse recurso permite visualizar e aplicar os seguintes tipos de atualizações em um Pasta do Assured Workloads:

Restrições da política da organização: todas as restrições da política da organização que são aplicáveis à sua carga de trabalho e aplicadas pelo Assured Workloads podem ser incluídas em uma atualização da carga de trabalho, com as seguintes exceções:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Observação: as atualizações do gcp.restrictServiceUsage estão disponíveis no console do Google Cloud, mas não quando você usa a API Assured Workloads. Para exemplo, você não vai receber atualizações de gcp.restrictServiceUsage ao chamar o updates, conforme descrito na seção Ver atualizações da carga de trabalho.

Antes de começar

Identifique os IDs de recursos das pastas do Assured Workloads para ativar as atualizações.
Atribua ou verifique as permissões do IAM no destino. Pastas e cargas de trabalho do Assured Workloads.

Permissões do IAM obrigatórias

Para ativar, visualizar ou aplicar atualizações de carga de trabalho, o autor da chamada precisa receber permissões do IAM usando um papel predefinido que inclua um conjunto mais amplo de permissões ou um papel personalizado restrito ao mínimo de permissões necessárias. A permissão orgpolicy.policy.set necessária não está disponível para uso em papéis personalizados.

As seguintes permissões são necessárias:

assuredworkloads.workload.update na carga de trabalho de destino para ativar as atualizações. Essa permissão está incluída nos papéis predefinidos Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list na carga de trabalho de destino para conferir as atualizações disponíveis. Essa permissão está incluída no Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor), e Administrador do Assured Workloads (roles/assuredworkloads.admin) papéis predefinidos.
assuredworkloads.updates.update na carga de trabalho de destino disponível para aplicação atualizações. Essa permissão está incluída no Editor do Assured Workloads (roles/assuredworkloads.editor), e Administrador do Assured Workloads (roles/assuredworkloads.admin) papéis predefinidos.
assuredworkloads.operations.get na carga de trabalho de destino para receber o status e de uma operação de atualização. Essa permissão está incluída nos papéis predefinidos Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get na pasta de destino para aplicar as atualizações disponíveis. Isso está incluída no arquivo Leitor de políticas da organização (roles/orgpolicy.policyViewer) e Administrador de políticas da organização (roles/orgpolicy.policyAdmin) papéis predefinidos.
orgpolicy.policy.set na pasta de destino para aplicar as atualizações disponíveis. Isso não tem suporte em papéis personalizados, mas está incluída no Administrador de políticas da organização (roles/orgpolicy.policyAdmin) predefinido.
resourcemanager.folders.getIamPolicy e resourcemanager.folders.setIamPolicy na pasta de destino para ativar as atualizações. Essas permissões estão incluídas no papel de Administrador do IAM de pastas (roles/resourcemanager.folderIamAdmin) e em outros papéis predefinidos altamente permissivos.

Ativar atualizações de carga de trabalho

Quando você ativa as atualizações da carga de trabalho, Agente de serviço do Assured Workloads é criada. Esse agente de serviço recebe o Agente de serviço do Assured Workloads (roles/assuredworkloads.serviceAgent) na pasta de destino do Assured Workloads. Esse papel permite agente de serviço para verificar se há atualizações disponíveis na pasta.

Para ativar as atualizações de carga de trabalho, siga estas etapas:

Console

No console do Google Cloud, acesse o Assured Workloads. página.

Acesse o Assured Workloads
Na parte de cima da página no painel Introdução às atualizações de compliance, Clique em Ativar atualizações de compliance.
Quando a mensagem Ativar atualizações de compliance? aparecer, clique em Ativar.

As atualizações de carga de trabalho estão ativadas para todas as pastas do Assured Workloads na sua organização.

REST

O método enableComplianceUpdates permite que o Assured Workloads notifique você sobre atualizações em uma única pasta do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Substitua os seguintes valores de marcador pelos seus próprios valores:

ENDPOINT_URI: o Assured Workloads URI do endpoint de serviço. Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como https://us-west1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-west1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregião nos EUA.
ORGANIZATION_ID: o ID da organização do Pasta do Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: o local do Assured Workloads da pasta, por exemplo, us-west1 ou us. Ele corresponde ao valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para ativar as atualizações. Por exemplo, 00-701ea036-7152-4780-a867-9f5.

Exemplo:

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Ver atualizações da carga de trabalho

Para conferir as atualizações de cargas de trabalho, conclua as etapas a seguir:

Console

No console do Google Cloud, acesse o Assured Workloads. página.

Acesse o Assured Workloads
Na coluna Nome, clique no nome da pasta de cargas de trabalho garantidas que você quer conferir as atualizações. Se houver atualizações disponíveis para a pasta, clique no link na coluna Updates.
Em Atualizações disponíveis, clique em Consultar atualizações disponíveis.
Se disponíveis, as atualizações das políticas da organização aparecem no Guia Política da organização. Analise a restrição da política da organização afetada e clique em View update para conferir as configurações de restrição que serão aplicadas pela atualização.

REST

O organizations.locations.workloads.updates.list lista as atualizações disponíveis para uma carga de trabalho do Assured Workloads.

Método HTTP, URL e parâmetros de consulta:

GET https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Substitua os seguintes valores de marcador pelos seus próprios valores:

ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads. Esse URI precisa ser o endpoint que corresponde ao local do destino carga de trabalho, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional em nos EUA.
ORGANIZATION_ID: o ID da organização do Pasta do Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: o local do Assured Workloads da pasta, por exemplo, us-central1 ou us. Ela corresponde à Valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para listar as atualizações disponíveis. Por exemplo, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (opcional): limita o número de atualizações que serão retornadas a resposta. Se não for especificado, o valor padrão será definido como 20. O valor máximo é 100.
PAGE_TOKEN (opcional): quando uma ou mais páginas estão disponíveis, um token para a próxima página é retornado na resposta JSON, por exemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se não for especificado, não as páginas subsequentes serão retornadas.

Exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Se for bem-sucedido, você receberá uma resposta JSON semelhante a esta exemplo:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplicar atualizações de carga de trabalho

Aplicar uma atualização de carga de trabalho a uma carga de trabalho é uma operação de longa duração. Se as mudanças na configuração da carga de trabalho após o início da operação concluído, pode ocorrer um erro.

Além disso, as atualizações das cargas de trabalho são reavaliadas periodicamente em relação às configuração disponível. Nesse caso, outras atualizações podem estar disponíveis imediatamente após a aplicação de uma atualização.

Para aplicar as atualizações de carga de trabalho, siga estas etapas:

Console

No console do Google Cloud, acesse o Assured Workloads. página.

Acesse o Assured Workloads
Na coluna Nome, clique no nome do Assured Workloads que contém as atualizações que você quer ver. Se houver atualizações disponíveis para a pasta, clique no link na coluna Updates.
Em Atualizações disponíveis, clique em Consultar atualizações disponíveis.
Se disponível, as atualizações da política da organização vão aparecer na guia Política da organização. Revise a restrição da política da organização afetada e clique em Visualizar atualização para conferir uma prévia das configurações da restrição atualizada.
Clique em Atualizar política da organização para aplicar a atualização.

A operação de atualização de longa duração é iniciada e a nova organização da pasta é iniciada as configurações de política serão aplicadas.

REST

O organizations.locations.workloads.updates.apply aplica a atualização especificada a um Assured Workloads carga de trabalho do Google Cloud.

Método HTTP, URL e parâmetros de consulta:

POST https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Substitua os valores dos marcadores de posição a seguir pelos seus próprios:

ENDPOINT_URI: o Assured Workloads URI do endpoint de serviço. Esse URI precisa ser o endpoint que corresponde ao local do destino carga de trabalho, como https://us-central1-assuredworkloads.googleapis.com para uma carga de trabalho regionalizada na região us-central1 e https://us-assuredworkloads.googleapis.com para uma carga de trabalho multirregional em nos EUA.
ORGANIZATION_ID: o ID da organização do Pasta do Assured Workloads, por exemplo, 919698201234.
LOCATION_ID: o local do Assured Workloads da pasta, por exemplo, us-central1 ou us. Ela corresponde à Valor data region da carga de trabalho.
WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads para listar as atualizações disponíveis, por exemplo, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: o ID da atualização a ser aplicada, selecionado na lista de atualizações disponíveis retornadas pelo organizations.locations.workloads.updates.list método, por exemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Corpo da solicitação:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Exemplo:

POST https://us-central1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Se tudo der certo, você vai receber uma resposta JSON semelhante a esta exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para saber o status de uma operação de atualização de longa duração, use o ID da operação no valor name da resposta JSON. No exemplo anterior, o ID da operação é 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Em seguida, faça a solicitação abaixo, substituindo os valores de marcador de posição pelos seus:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Exemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Se for bem-sucedido, você receberá uma resposta JSON semelhante a esta exemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1beta1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}