启用合规产品/服务更新

本页面介绍了如何为以下各项启用合规性更新： Assured Workloads 文件夹。Assured Workloads 会定期更新 控制软件包，其中包含新的 设置和常规改进，例如更新后的组织政策 限制条件的值。启用合规性更新后，您的 可以评估 Assured Workloads 文件夹，以确定 文件夹配置与最新的可用配置不同。

默认情况下，系统会自动为新发布商 Assured Workloads 文件夹。对于现有文件夹，我们强烈建议您 按照相应步骤启用合规性更新。

此功能不会产生任何额外费用，也不会影响 Assured Workloads Monitoring 的行为；无论是否有配置更新可用，当文件夹不符合其当前配置时，您仍然会收到提醒。

准备工作

• 确定 Assured Workloads 文件夹的资源 ID， 来启用合规性更新
• 分配或验证针对目标的 IAM 权限 Assured Workloads 文件夹和工作负载。

必需的 IAM 权限

如需启用合规性更新，必须使用以下方法之一向调用者授予 IAM 权限：预定义角色（包含一组更广泛的权限）或自定义角色（限制为必要的最少权限）。

必须拥有以下权限：

• 针对目标工作负载的 assuredworkloads.workload.update 权限。此权限 为 包含在 Assured Workloads Editor (roles/assuredworkloads.editor) 和 Assured Workloads Admin (roles/assuredworkloads.admin) 预定义角色。
• resourcemanager.folders.setIamPolicy和 针对目标文件夹的 resourcemanager.folders.getIamPolicy 权限。这些权限包含在 Folder IAM Admin (roles/resourcemanager.folderIamAdmin) 角色和其他具有极高权限的预定义角色中。

启用合规产品/服务更新

启用合规性更新后， Assured Workloads Service Agent 。然后，此服务代理会被授予 Assured Workloads Service Agent (roles/assuredworkloads.serviceAgent) 针对目标 Assured Workloads 文件夹的此角色。此角色可启用 服务代理来检查该文件夹上是否有可用的合规性更新。

如需启用合规性更新，请完成以下步骤：

PUT https://[ENDPOINT_URI]/v1beta1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

PUT https://us-west1-assuredworkloads.googleapis.com/v1beta1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates