Aplicar atualizações da carga de trabalho
Nesta página, descrevemos como ativar, visualizar e aplicar atualizações de carga de trabalho para pastas do Assured Workloads. O Assured Workloads atualiza regularmente os pacotes de controle com novas configurações e melhorias gerais, como valores atualizados de restrição da política da organização. Com esse recurso, é possível avaliar a configuração atual da pasta do Assured Workloads em comparação com a mais recente disponível e aplicar as atualizações propostas.
Por padrão, esse recurso é ativado automaticamente para novas pastas do recurso "Assured Workloads". Para pastas atuais, recomendamos que você siga as etapas para ativar atualizações de carga de trabalho.
Esse recurso não gera custos adicionais nem afeta o comportamento do monitoramento do Assured Workloads. Você ainda vai receber alertas quando sua pasta não estiver em conformidade com a configuração atual, independente de haver atualizações disponíveis.
Visão geral das atualizações de carga de trabalho
Ao criar uma pasta do Assured Workloads, o tipo de pacote de controle que você selecionar, como o FedRAMP Moderate, determina as várias configurações aplicadas à sua carga de trabalho. Algumas dessas configurações são visíveis externamente na forma de restrições da política da organização, embora outras sejam aplicáveis apenas aos sistemas internos do Google. O Assured Workloads usa um sistema interno de controle de versões de configuração para manter as mudanças de cada tipo de pacote de controle.
Quando uma nova versão de configuração interna fica disponível, o Assured Workloads compara a configuração da sua carga de trabalho com a nova versão interna. Todas as diferenças são analisadas, e as melhorias resultantes ficam disponíveis como uma atualização que pode ser aplicada à configuração da carga de trabalho. Quando essas melhorias incluem suporte a um novo serviço, as restrições de política da organização necessárias para esse serviço também podem ser aplicadas à sua carga de trabalho.
As atualizações disponíveis do Assured Workloads foram verificadas pelo Google para estar em conformidade com os requisitos do pacote de controle da sua carga de trabalho. No entanto, ainda é sua responsabilidade analisar cada atualização disponível para verificar se ela atende aos requisitos regulamentares ou de compliance da sua organização. Consulte Responsabilidade compartilhada no Assured Workloads para mais informações.
Tipos de atualização compatíveis
Com esse recurso, é possível visualizar e aplicar os seguintes tipos de atualizações em uma pasta do Assured Workloads:
Restrições da política da organização: todas as restrições da política da organização aplicáveis à sua carga de trabalho e impostas pelo Assured Workloads podem ser incluídas em uma atualização da carga de trabalho, com as seguintes exceções:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Antes de começar
- Identifique os IDs de recursos das pastas do Assured Workloads em que você quer ativar as atualizações.
- Atribua ou verifique permissões do IAM nas pastas e cargas de trabalho de destino do Assured Workloads.
Permissões do IAM obrigatórias
Para ativar, visualizar ou aplicar atualizações de carga de trabalho, o autor da chamada precisa receber permissões do IAM usando um
papel predefinido que inclua um
conjunto mais amplo de permissões ou um
papel personalizado restrito ao mínimo
de permissões necessárias. A permissão orgpolicy.policy.set necessária não está disponível para uso em papéis personalizados.
As seguintes permissões são necessárias:
assuredworkloads.workload.updatena carga de trabalho de destino para ativar as atualizações. Essa permissão está incluída nos papéis predefinidos de Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.listna carga de trabalho de destino para ver as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor), e Administrador do Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updatena carga de trabalho de destino para aplicar as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos de Editor do Assured Workloads (roles/assuredworkloads.editor) e Administrador do Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.operations.getna carga de trabalho de destino para conferir o status e os resultados de uma operação de atualização. Essa permissão está incluída nos papéis predefinidos Leitor do Assured Workloads (roles/assuredworkloads.reader), Editor do Assured Workloads (roles/assuredworkloads.editor), e Administrador do Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.getna pasta de destino para aplicar as atualizações disponíveis. Essa permissão está incluída nos papéis predefinidos Leitor da política da organização (roles/orgpolicy.policyViewer) e Administrador da política da organização (roles/orgpolicy.policyAdmin).orgpolicy.policy.setna pasta de destino para aplicar as atualizações disponíveis. Essa permissão não é compatível com papéis personalizados, mas está incluída no papel predefinido de Administrador da política da organização (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicyeresourcemanager.folders.setIamPolicyna pasta de destino para ativar as atualizações. Essas permissões estão incluídas no papel Administrador do IAM da pasta (roles/resourcemanager.folderIamAdmin) e em outros papéis predefinidos altamente permissivos.
Ativar atualizações da carga de trabalho
Quando você ativa as atualizações de workload, o
agente de serviço do Assured Workloads
é criado. Esse agente de serviço recebe o papel de
Agente de serviço do Assured Workloads (roles/assuredworkloads.serviceAgent)
na pasta de destino do Assured Workloads. Com essa função, o agente de serviço pode verificar se há atualizações disponíveis na pasta.
Para ativar as atualizações de carga de trabalho, siga estas etapas:
Console
No console Google Cloud , acesse a página Assured Workloads.
Na parte de cima da página, no painel Apresentamos as atualizações de compliance, clique em Ativar atualizações de compliance.
Quando a mensagem Ativar atualizações de compliance? aparecer, clique em Ativar.
As atualizações de carga de trabalho agora estão ativadas para todas as pastas do Assured Workloads na sua organização.
REST
O método
enableComplianceUpdates
permite que o Assured Workloads notifique você sobre atualizações de uma
única pasta do Assured Workloads.
Método HTTP, URL e parâmetros de consulta:
PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Substitua os seguintes valores de marcador de posição pelos seus:
- ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads.
Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como
https://us-west1-assuredworkloads.googleapis.compara uma carga de trabalho regionalizada na regiãous-west1ehttps://us-assuredworkloads.googleapis.compara uma carga de trabalho multirregional nos EUA. - ORGANIZATION_ID: o ID da organização da pasta
Assured Workloads, por exemplo,
919698201234. - LOCATION_ID: o local da pasta do Assured Workloads, por exemplo,
us-west1ouus. Ele corresponde ao valordata regionda carga de trabalho. - WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads
em que as atualizações serão ativadas, por exemplo,
00-701ea036-7152-4780-a867-9f5.
Exemplo:
PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesVer atualizações da carga de trabalho
Para conferir as atualizações da carga de trabalho, siga estas etapas:
Console
No console Google Cloud , acesse a página Assured Workloads.
Na coluna Nome, clique no nome da pasta do Assured Workloads para conferir as atualizações. Se houver atualizações disponíveis para a pasta, clique no link na coluna Atualizações.
Em Atualizações disponíveis, clique em Analisar atualizações disponíveis.
Se disponíveis, as atualizações da política da organização serão mostradas na guia Política da organização. Revise a restrição da política da organização afetada e clique em Ver atualização para visualizar as configurações de restrição que serão aplicadas pela atualização.
REST
O método
organizations.locations.workloads.updates.list
lista as atualizações disponíveis para uma carga de trabalho do Assured Workloads.
Método HTTP, URL e parâmetros de consulta:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Substitua os seguintes valores de marcador de posição pelos seus:
- ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads.
Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como
https://us-central1-assuredworkloads.googleapis.compara uma carga de trabalho regionalizada na regiãous-central1ehttps://us-assuredworkloads.googleapis.compara uma carga de trabalho multirregional nos EUA. - ORGANIZATION_ID: o ID da organização da pasta
Assured Workloads, por exemplo,
919698201234. - LOCATION_ID: o local da pasta do Assured Workloads, por exemplo,
us-central1ouus. Ele corresponde ao valordata regionda carga de trabalho. - WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads
para listar as atualizações disponíveis, por exemplo,
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (opcional): limita o número de atualizações a serem retornadas na
resposta. Se não for especificado, o valor padrão será
20. O valor máximo é100. - PAGE_TOKEN (opcional): quando uma ou mais páginas estão disponíveis, um token para a próxima página é retornado na resposta JSON. Por exemplo,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se não for especificado, nenhuma página subsequente será retornada.
Exemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSe for bem-sucedido, você vai receber uma resposta JSON semelhante ao exemplo a seguir:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Aplicar atualizações da carga de trabalho
Aplicar uma atualização a uma carga de trabalho é uma operação de longa duração. Se a configuração da sua carga de trabalho mudar depois que a operação for iniciada e antes de ser concluída, um erro poderá ocorrer.
Além disso, as atualizações de carga de trabalho são reavaliadas periodicamente com base na configuração mais recente disponível. Nesse caso, outras atualizações podem ficar disponíveis imediatamente após a aplicação de uma atualização.
Para aplicar atualizações de carga de trabalho, siga estas etapas:
Console
No console Google Cloud , acesse a página Assured Workloads.
Na coluna Nome, clique no nome da pasta do Assured Workloads para conferir as atualizações. Se houver atualizações disponíveis para a pasta, clique no link na coluna Atualizações.
Em Atualizações disponíveis, clique em Analisar atualizações disponíveis.
Se disponíveis, as atualizações da política da organização serão mostradas na guia Política da organização. Revise a restrição da política da organização afetada e clique em Ver atualização para conferir as configurações atualizadas.
Clique em Atualizar política da organização para aplicar a atualização.
A operação de atualização de longa duração é iniciada, e as novas configurações de política da organização da pasta são aplicadas.
REST
O método
organizations.locations.workloads.updates.apply
aplica a atualização especificada a uma carga de trabalho do Assured Workloads.
Método HTTP, URL e parâmetros de consulta:
POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Substitua os seguintes valores de marcador de posição pelos seus:
- ENDPOINT_URI: o URI do endpoint de serviço do Assured Workloads.
Esse URI precisa ser o endpoint que corresponde ao local da carga de trabalho de destino, como
https://us-central1-assuredworkloads.googleapis.compara uma carga de trabalho regionalizada na regiãous-central1ehttps://us-assuredworkloads.googleapis.compara uma carga de trabalho multirregional nos EUA. - ORGANIZATION_ID: o ID da organização da pasta
Assured Workloads, por exemplo,
919698201234. - LOCATION_ID: o local da pasta do Assured Workloads, por exemplo,
us-central1ouus. Ele corresponde ao valordata regionda carga de trabalho. - WORKLOAD_ID: o ID da carga de trabalho do Assured Workloads
para listar as atualizações disponíveis, por exemplo,
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: o ID da atualização a ser aplicada, selecionado na lista
de atualizações disponíveis retornadas pelo
método
organizations.locations.workloads.updates.list(por exemplo,edb84871-833b-45ec-9c00-c9b5c19d2d87).
Corpo da solicitação:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Exemplo:
POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Se for bem-sucedido, você vai receber uma resposta JSON semelhante ao exemplo a seguir:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Para conferir o status de uma operação de atualização de longa duração, use o ID da operação
no valor name da resposta JSON. Usando o exemplo anterior, o ID da
operação é 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Em seguida, faça a solicitação a seguir, substituindo os valores do marcador pelos seus:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Exemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSe for bem-sucedido, você vai receber uma resposta JSON semelhante ao exemplo a seguir:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }