Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menerapkan update workload

Halaman ini menjelaskan cara mengaktifkan, melihat, dan menerapkan update workload untuk folder Assured Workloads. Assured Workloads secara rutin mengupdate paket kontrolnya dengan setelan baru dan peningkatan umum, seperti nilai batasan kebijakan organisasi yang diupdate. Fitur ini memungkinkan Anda mengevaluasi konfigurasi folder Assured Workloads saat ini terhadap konfigurasi terbaru yang tersedia, dan memilih untuk menerapkan update yang diusulkan.

Secara default, fitur ini otomatis diaktifkan untuk folder Assured Workloads baru. Untuk folder yang ada, sebaiknya ikuti langkah-langkah untuk mengaktifkan update workload.

Fitur ini tidak dikenai biaya tambahan, dan tidak memengaruhi perilaku pemantauan Assured Workloads; Anda akan tetap menerima notifikasi saat folder Anda tidak mematuhi konfigurasi saat ini, terlepas dari apakah update untuk konfigurasinya tersedia atau tidak.

Ringkasan update workload

Saat Anda membuat folder Assured Workloads baru, jenis paket kontrol yang Anda pilih—seperti FedRAMP Moderate—akan menentukan berbagai setelan konfigurasi yang diterapkan pada workload Anda. Beberapa setelan ini terlihat secara eksternal dalam bentuk batasan kebijakan organisasi, meskipun setelan lainnya hanya berlaku untuk sistem internal Google. Assured Workloads menggunakan sistem pembuatan versi konfigurasi internal untuk mempertahankan perubahan untuk setiap jenis paket kontrol.

Saat versi konfigurasi internal baru tersedia, Assured Workloads akan membandingkan konfigurasi workload Anda dengan versi internal baru. Setiap perbedaan akan dianalisis, dan peningkatan yang dihasilkan akan tersedia sebagai update yang dapat Anda terapkan ke konfigurasi workload Anda. Jika peningkatan tersebut mencakup dukungan untuk layanan baru, batasan kebijakan organisasi yang diperlukan untuk layanan tersebut mungkin juga diterapkan pada workload Anda.

Update Assured Workloads yang tersedia telah diverifikasi oleh Google agar mematuhi persyaratan paket kontrol workload Anda. Namun, Anda tetap bertanggung jawab untuk meninjau setiap update yang tersedia guna memverifikasi bahwa update tersebut memenuhi persyaratan peraturan atau kepatuhan organisasi Anda. Lihat Tanggung jawab bersama di Assured Workloads untuk mengetahui informasi selengkapnya.

Jenis update yang didukung

Fitur ini mendukung tampilan dan penerapan jenis update berikut pada folder Assured Workloads:

Batasan kebijakan organisasi: Batasan kebijakan organisasi apa pun yang berlaku untuk workload Anda dan diterapkan oleh Assured Workloads dapat disertakan dalam update workload, dengan pengecualian berikut:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Catatan: gcp.restrictServiceUsage update tersedia di Google Cloud konsol tetapi tidak tersedia saat menggunakan Assured Workloads API. Misalnya, Anda tidak akan menerima gcp.restrictServiceUsage update saat memanggil metode updates seperti yang dijelaskan di bagian Melihat update workload.
Tahap peluncuran paket kontrol: Fitur ini hanya mendukung tampilan dan penerapan update saat paket kontrol tertentu berada pada tahap peluncuran yang sama seperti saat Anda pertama kali men-deploy-nya. Misalnya, jika Anda men-deploy workload untuk paket kontrol saat paket kontrol tersebut berada di tahap peluncuran Pratinjau dan paket kontrol tersebut kemudian tersedia secara umum, Anda harus men-deploy ulang workload menggunakan versi GA sebelum dapat menerapkan update. Jika Anda tidak men-deploy ulang workload, Anda mungkin akan mengalami error atau pelanggaran kepatuhan setelah mencoba menerapkan update.

Sebelum memulai

Identifikasi ID resource untuk folder Assured Workloads yang akan diaktifkan update-nya.
Tetapkan atau verifikasi izin IAM pada target folder dan workload Assured Workloads.

Izin IAM yang diperlukan

Untuk mengaktifkan, melihat, atau menerapkan update workload, pemanggil harus diberi izin IAM menggunakan peran bawaan yang menyertakan kumpulan izin yang lebih luas, atau peran khusus yang dibatasi ke izin minimum yang diperlukan. Perhatikan bahwa izin orgpolicy.policy.set yang diperlukan tidak tersedia untuk digunakan dalam peran khusus.

Izin berikut diperlukan:

assuredworkloads.workload.update pada workload target untuk mengaktifkan update. Izin ini disertakan dalam peran bawaan Assured Workloads Editor (roles/assuredworkloads.editor) dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.updates.list pada workload target untuk melihat update yang tersedia. Izin ini disertakan dalam peran bawaan Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.updates.update pada workload target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran bawaan Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.operations.get pada workload target untuk mendapatkan status dan hasil operasi update. Izin ini disertakan dalam peran bawaan Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
orgpolicy.policy.get pada folder target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran bawaan Organization Policy Viewer (roles/orgpolicy.policyViewer) dan Organization Policy Administrator (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set pada folder target untuk menerapkan update yang tersedia. Izin ini tidak didukung dalam peran khusus, tetapi disertakan dalam peran bawaan Organization Policy Administrator (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy dan resourcemanager.folders.setIamPolicy pada folder target untuk mengaktifkan update. Izin ini disertakan dalam peran Folder IAM Admin (roles/resourcemanager.folderIamAdmin) dan peran bawaan lain yang sangat permisif.

Mengaktifkan update workload

Saat Anda mengaktifkan update workload, Assured Workloads Service Agent akan dibuat. Agen layanan ini kemudian diberi peran Assured Workloads Service Agent (roles/assuredworkloads.serviceAgent) pada folder Assured Workloads target. Peran ini memungkinkan agen layanan memeriksa update yang tersedia di folder.

Untuk mengaktifkan update workload, selesaikan langkah-langkah berikut:

Konsol

Di Google Cloud konsol, buka halaman Assured Workloads.

Buka Assured Workloads
Di bagian atas halaman di panel Introducing Compliance Updates , klik Enable compliance updates.
Saat diminta untuk Enable compliance updates?, klik Enable.

Update workload kini diaktifkan untuk semua folder Assured Workloads di organisasi Anda.

REST

Metode enableComplianceUpdates memungkinkan Assured Workloads memberi tahu Anda tentang update untuk satu folder Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads . URI ini harus berupa endpoint yang cocok dengan lokasi workload tujuan, seperti https://us-west1-assuredworkloads.googleapis.com untuk workload regional di region us-west1 dan https://us-assuredworkloads.googleapis.com untuk workload multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads —misalnya, us-west1 atau us. ID ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan diaktifkan update-nya—misalnya, 00-701ea036-7152-4780-a867-9f5.

Contoh:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Melihat update workload

Untuk melihat update workload, selesaikan langkah-langkah berikut:

Konsol

Di Google Cloud konsol, buka halaman Assured Workloads.

Buka Assured Workloads
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat update-nya. Atau, jika update tersedia untuk folder tersebut, klik link di kolom Updates.
Di bagian Available updates, klik Review available updates.
Jika tersedia, update kebijakan organisasi akan ditampilkan di tab Organization policy. Tinjau batasan kebijakan organisasi yang terpengaruh dan klik View update untuk melihat pratinjau setelan batasan yang akan diterapkan oleh update.

Catatan: Jika update gcp.restrictServiceUsage tersedia, batasan kebijakan organisasi khusus layanan yang diperlukan untuk layanan tidak akan muncul dalam daftar update yang tersedia. Namun, jika Anda memilih untuk menerapkan update gcp.restrictServiceUsage, batasan yang diperlukan ini (seperti compute.disableGlobalCloudArmorPolicy untuk Batas Data Uni Eropa) akan diterapkan ke workload Anda.

REST

Metode organizations.locations.workloads.updates.list mencantumkan update yang tersedia untuk workload Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads . URI ini harus berupa endpoint yang cocok dengan lokasi workload tujuan, seperti https://us-central1-assuredworkloads.googleapis.com untuk workload regional di region us-central1 dan https://us-assuredworkloads.googleapis.com untuk workload multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads —misalnya, us-central1 atau us. ID ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan dicantumkan update yang tersedia—misalnya, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (Opsional): Membatasi jumlah update yang akan ditampilkan dalam respons. Jika tidak ditentukan, nilai default akan ditetapkan ke 20. Nilai maksimumnya adalah 100.
PAGE_TOKEN (Opsional): Jika satu atau beberapa halaman tersedia, token untuk halaman berikutnya akan ditampilkan dalam respons JSON—misalnya, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Jika tidak ditentukan, tidak ada halaman berikutnya yang akan ditampilkan.

Contoh:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Menerapkan update workload

Menerapkan update workload ke workload adalah operasi yang berjalan lama. Jika konfigurasi workload Anda berubah setelah memulai operasi dan sebelum selesai, error mungkin terjadi.

Selain itu, update workload dievaluasi ulang secara berkala terhadap konfigurasi terbaru yang tersedia. Dalam hal ini, update tambahan mungkin tersedia segera setelah Anda menerapkan update.

Untuk menerapkan update workload, selesaikan langkah-langkah berikut:

Konsol

Di Google Cloud konsol, buka halaman Assured Workloads.

Buka Assured Workloads
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat update-nya. Atau, jika update tersedia untuk folder tersebut, klik link di kolom Updates.
Di bagian Available updates, klik Review available updates.
Jika tersedia, update kebijakan organisasi akan ditampilkan di tab Organization policy. Tinjau batasan kebijakan organisasi yang terpengaruh dan klik View update untuk melihat pratinjau setelan batasan yang diupdate.

Catatan: Jika update gcp.restrictServiceUsage tersedia, batasan kebijakan organisasi khusus layanan yang diperlukan untuk layanan tidak akan muncul dalam daftar update yang tersedia. Namun, jika Anda memilih untuk menerapkan update gcp.restrictServiceUsage, batasan yang diperlukan ini (seperti compute.disableGlobalCloudArmorPolicy untuk Batas Data Uni Eropa) akan diterapkan ke workload Anda.
Klik Update organization policy untuk menerapkan update.

Operasi update yang berjalan lama akan dimulai, dan setelan kebijakan organisasi baru folder akan diterapkan.

REST

Metode organizations.locations.workloads.updates.apply menerapkan update yang ditentukan untuk workload Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads . URI ini harus berupa endpoint yang cocok dengan lokasi workload tujuan, seperti https://us-central1-assuredworkloads.googleapis.com untuk workload regional di region us-central1 dan https://us-assuredworkloads.googleapis.com untuk workload multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads —misalnya, us-central1 atau us. ID ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan dicantumkan update yang tersedia—misalnya, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: ID update yang akan diterapkan, dipilih dari daftar update yang tersedia yang ditampilkan oleh organizations.locations.workloads.updates.list metode—misalnya, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Isi permintaan:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Contoh:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Untuk mendapatkan status operasi update yang berjalan lama, gunakan ID operasi dalam nilai name dari respons JSON. Menggunakan contoh sebelumnya, ID operasinya adalah 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Kemudian, buat permintaan berikut, dengan mengganti nilai placeholder dengan nilai Anda sendiri:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Contoh:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}