I nomi di alcuni pacchetti di controlli di Assured Workloads sono cambiati. Per informazioni sul cambio di nome, vedi Controllare l'avviso di ridenominazione del pacchetto.

Applica aggiornamenti del workload

Questa pagina descrive come abilitare, visualizzare e applicare gli aggiornamenti dei workload per le cartelle Assured Workloads. Assured Workloads aggiorna regolarmente i pacchetti di controlli con nuove impostazioni e miglioramenti generali, come i valori dei vincoli dei criteri dell'organizzazione aggiornati. Questa funzionalità ti consente di valutare la configurazione attuale della cartella Assured Workloads rispetto alla configurazione più recente disponibile e scegliere di applicare gli aggiornamenti proposti.

Per impostazione predefinita, questa funzionalità viene attivata automaticamente per le nuove cartelle Assured Workloads. Per le cartelle esistenti, ti consigliamo vivamente di seguire i passaggi per attivare gli aggiornamenti del workload.

Questa funzionalità non comporta costi aggiuntivi né influisce sul comportamento del monitoraggio di Assured Workloads. Riceverai comunque un avviso quando la tua cartella non è più conforme alla sua configurazione attuale, indipendentemente dalla disponibilità di aggiornamenti alla configurazione.

Panoramica degli aggiornamenti dei workload

Quando crei una nuova cartella Assured Workloads, il tipo di pacchetto di controllo che selezioni, ad esempio FedRAMP Moderate, determina le varie impostazioni di configurazione applicate al tuo workload. Alcune di queste impostazioni sono visibili esternamente sotto forma di vincoli dei criteri dell'organizzazione, mentre altre sono applicabili solo ai sistemi interni di Google. Assured Workloads utilizza un sistema di controllo delle versioni della configurazione interno per mantenere le modifiche per ogni tipo di pacchetto di controlli.

Quando diventa disponibile una nuova versione della configurazione interna, Assured Workloads confronta la configurazione del tuo workload con la nuova versione interna. Eventuali differenze vengono analizzate e i miglioramenti risultanti diventano disponibili come aggiornamento che puoi applicare alla configurazione del tuo workload. Quando questi miglioramenti includono il supporto di un nuovo servizio, anche eventuali vincoli dei criteri dell'organizzazione richiesti per quel servizio potrebbero essere applicati al tuo carico di lavoro.

Gli aggiornamenti di Assured Workloads disponibili sono stati verificati da Google per essere conformi ai requisiti del pacchetto di controllo del tuo workload. Tuttavia, è comunque tua responsabilità esaminare ogni aggiornamento disponibile per verificare che soddisfi i requisiti normativi o di conformità della tua organizzazione. Per saperne di più, consulta Responsabilità condivisa in Assured Workloads.

Tipi di aggiornamenti supportati

Questa funzionalità supporta la visualizzazione e l'applicazione dei seguenti tipi di aggiornamenti in una cartella Assured Workloads:

Vincoli delle policy dell'organizzazione: tutti i vincoli delle policy dell'organizzazione applicabili al tuo carico di lavoro e applicati da Assured Workloads possono essere inclusi in un aggiornamento del carico di lavoro, con le seguenti eccezioni:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Nota: gli aggiornamenti di gcp.restrictServiceUsage sono disponibili nella console Google Cloud , ma non quando si utilizza l'API Assured Workloads. Ad esempio, non riceverai aggiornamenti gcp.restrictServiceUsage quando chiami il metodo updates come descritto nella sezione Visualizzare gli aggiornamenti del workload.

Prima di iniziare

Identifica gli ID risorsa delle cartelle Assured Workloads per le quali attivare gli aggiornamenti.
Assegna o verifica le autorizzazioni IAM nelle cartelle e nei workload Assured Workloads di destinazione.

Autorizzazioni IAM obbligatorie

Per attivare, visualizzare o applicare gli aggiornamenti dei workload, al chiamante devono essere concesse le autorizzazioni IAM utilizzando un ruolo predefinito che include un insieme più ampio di autorizzazioni o un ruolo personalizzato limitato alle autorizzazioni minime necessarie. Tieni presente che l'autorizzazione orgpolicy.policy.set richiesta non è disponibile per l'utilizzo nei ruoli personalizzati.

Sono richieste le seguenti autorizzazioni:

assuredworkloads.workload.update sul workload di destinazione per abilitare gli aggiornamenti. Questa autorizzazione è inclusa nei ruoli predefiniti Assured Workloads Editor (roles/assuredworkloads.editor) e Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.updates.list sul carico di lavoro di destinazione per visualizzare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), e Amministratore Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.update sul workload di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Assured Workloads Editor (roles/assuredworkloads.editor), e Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.operations.get sul carico di lavoro di destinazione per visualizzare lo stato e i risultati di un'operazione di aggiornamento. Questa autorizzazione è inclusa nei ruoli predefiniti Lettore Assured Workloads (roles/assuredworkloads.reader), Editor Assured Workloads (roles/assuredworkloads.editor), e Amministratore Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get sulla cartella di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione è inclusa nei ruoli predefiniti Visualizzatore criterio dell'organizzazione (roles/orgpolicy.policyViewer) e Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set sulla cartella di destinazione per applicare gli aggiornamenti disponibili. Questa autorizzazione non è supportata nei ruoli personalizzati, ma è inclusa nel ruolo predefinito Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy e resourcemanager.folders.setIamPolicynella cartella di destinazione per abilitare gli aggiornamenti. Queste autorizzazioni sono incluse nel ruolo Amministratore IAM cartella (roles/resourcemanager.folderIamAdmin) e in altri ruoli predefiniti con autorizzazioni elevate.

Abilitare gli aggiornamenti del workload

Quando attivi gli aggiornamenti del workload, viene creato Assured Workloads Service Agent. A questo service agent viene quindi concesso il ruolo Agente di servizio Assured Workloads (roles/assuredworkloads.serviceAgent) nella cartella Assured Workloads di destinazione. Questo ruolo consente all'agente di servizio di verificare la presenza di aggiornamenti disponibili nella cartella.

Per attivare gli aggiornamenti dei workload, completa i seguenti passaggi:

Console

Nella console Google Cloud , vai alla pagina Assured Workloads.

Vai ad Assured Workloads
Nella parte superiore della pagina, nel riquadro Introducing Compliance Updates (Novità sugli aggiornamenti della conformità), fai clic su Enable compliance updates (Attiva aggiornamenti della conformità).
Quando ti viene chiesto di Attivare gli aggiornamenti di conformità?, fai clic su Attiva.

Gli aggiornamenti dei workload sono ora abilitati per tutte le cartelle Assured Workloads della tua organizzazione.

REST

Il metodo enableComplianceUpdates consente ad Assured Workloads di inviarti notifiche sugli aggiornamenti per una singola cartella Assured Workloads.

Metodo HTTP, URL e parametri di ricerca:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Sostituisci i seguenti valori segnaposto con i tuoi:

ENDPOINT_URI: l'URI dell'endpoint di servizio di Assured Workloads. Questo URI deve essere l'endpoint corrispondente alla posizione del workload di destinazione, ad esempio https://us-west1-assuredworkloads.googleapis.com per un workload regionalizzato nella regione us-west1 e https://us-assuredworkloads.googleapis.com per un workload multiregionale negli Stati Uniti.
ORGANIZATION_ID: l'ID organizzazione per la cartella Assured Workloads, ad esempio 919698201234.
LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio us-west1 o us. Corrisponde al valore data region del carico di lavoro.
WORKLOAD_ID: l'ID del workload Assured Workloads per cui attivare gli aggiornamenti, ad esempio 00-701ea036-7152-4780-a867-9f5.

Ad esempio:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Visualizza aggiornamenti del workload

Per visualizzare gli aggiornamenti del workload, completa i seguenti passaggi:

Console

Nella console Google Cloud , vai alla pagina Assured Workloads.

Vai ad Assured Workloads
Nella colonna Nome, fai clic sul nome della cartella Assured Workloads per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
Nella sezione Aggiornamenti disponibili, fai clic su Rivedi aggiornamenti disponibili.
Se disponibili, gli aggiornamenti delle policy dell'organizzazione vengono visualizzati nella scheda Policy dell'organizzazione. Esamina il vincolo della policy dell'organizzazione interessata e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo che verranno applicate dall'aggiornamento.

Nota :se sono disponibili aggiornamenti di gcp.restrictServiceUsage, eventuali vincoli delle policy dell'organizzazione specifici per il servizio richiesti per un servizio non verranno visualizzati nell'elenco degli aggiornamenti disponibili. Tuttavia, se scegli di applicare un aggiornamento gcp.restrictServiceUsage, questi vincoli obbligatori (ad esempio compute.disableGlobalCloudArmorPolicy per il confine dei dati dell'UE) verranno applicati al tuo workload.

REST

Il metodo organizations.locations.workloads.updates.list elenca gli aggiornamenti disponibili per un workload Assured Workloads.

Metodo HTTP, URL e parametri di ricerca:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Sostituisci i seguenti valori segnaposto con i tuoi:

ENDPOINT_URI: l'URI dell'endpoint di servizio di Assured Workloads. Questo URI deve essere l'endpoint corrispondente alla posizione del workload di destinazione, ad esempio https://us-central1-assuredworkloads.googleapis.com per un workload regionalizzato nella regione us-central1 e https://us-assuredworkloads.googleapis.com per un workload multiregionale negli Stati Uniti.
ORGANIZATION_ID: l'ID organizzazione per la cartella Assured Workloads, ad esempio 919698201234.
LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio us-central1 o us. Corrisponde al valore data region del carico di lavoro.
WORKLOAD_ID: l'ID del workload Assured Workloads per cui elencare gli aggiornamenti disponibili, ad esempio 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (facoltativo): limita il numero di aggiornamenti da restituire nella risposta. Se non specificato, il valore predefinito è 20. Il valore massimo è 100.
PAGE_TOKEN (facoltativo): quando sono disponibili una o più pagine, nella risposta JSON viene restituito un token per la pagina successiva, ad esempio nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Se non specificato, non verranno restituite pagine successive.

Ad esempio:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Se l'operazione ha esito positivo, riceverai una risposta JSON simile alla seguente:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Applica aggiornamenti del workload

L'applicazione di un aggiornamento del workload a un workload è un'operazione a lunga esecuzione. Se la configurazione del carico di lavoro cambia dopo l'inizio dell'operazione e prima del completamento, potrebbe verificarsi un errore.

Inoltre, gli aggiornamenti dei workload vengono rivalutati periodicamente in base alla configurazione più recente disponibile. In questo caso, potrebbero essere disponibili aggiornamenti aggiuntivi immediatamente dopo l'applicazione di un aggiornamento.

Per applicare gli aggiornamenti del workload, completa i seguenti passaggi:

Console

Nella console Google Cloud , vai alla pagina Assured Workloads.

Vai ad Assured Workloads
Nella colonna Nome, fai clic sul nome della cartella Assured Workloads per cui vuoi visualizzare gli aggiornamenti. In alternativa, se sono disponibili aggiornamenti per la cartella, fai clic sul link nella colonna Aggiornamenti.
Nella sezione Aggiornamenti disponibili, fai clic su Rivedi aggiornamenti disponibili.
Se disponibili, gli aggiornamenti delle policy dell'organizzazione vengono visualizzati nella scheda Policy dell'organizzazione. Esamina il vincolo delle policy dell'organizzazione interessato e fai clic su Visualizza aggiornamento per visualizzare l'anteprima delle impostazioni del vincolo aggiornato.

Nota :se sono disponibili aggiornamenti di gcp.restrictServiceUsage, eventuali vincoli delle policy dell'organizzazione specifici per il servizio richiesti per un servizio non verranno visualizzati nell'elenco degli aggiornamenti disponibili. Tuttavia, se scegli di applicare un aggiornamento gcp.restrictServiceUsage, questi vincoli obbligatori (ad esempio compute.disableGlobalCloudArmorPolicy per il confine dei dati dell'UE) verranno applicati al tuo workload.
Fai clic su Aggiorna policy dell'organizzazione per applicare l'aggiornamento.

Viene avviata l'operazione di aggiornamento a lunga esecuzione e vengono applicate le nuove impostazioni dei criteri dell'organizzazione della cartella.

REST

Il metodo organizations.locations.workloads.updates.apply applica l'aggiornamento specificato per un workload Assured Workloads.

Metodo HTTP, URL e parametri di ricerca:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Sostituisci i seguenti valori segnaposto con i tuoi:

ENDPOINT_URI: l'URI dell'endpoint di servizio di Assured Workloads. Questo URI deve essere l'endpoint corrispondente alla posizione del workload di destinazione, ad esempio https://us-central1-assuredworkloads.googleapis.com per un workload regionalizzato nella regione us-central1 e https://us-assuredworkloads.googleapis.com per un workload multiregionale negli Stati Uniti.
ORGANIZATION_ID: l'ID organizzazione per la cartella Assured Workloads, ad esempio 919698201234.
LOCATION_ID: la posizione della cartella Assured Workloads, ad esempio us-central1 o us. Corrisponde al valore data region del carico di lavoro.
WORKLOAD_ID: l'ID del workload Assured Workloads per cui elencare gli aggiornamenti disponibili, ad esempio 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: l'ID dell'aggiornamento da applicare, selezionato dall'elenco degli aggiornamenti disponibili restituiti dal metodo organizations.locations.workloads.updates.list, ad esempio edb84871-833b-45ec-9c00-c9b5c19d2d87.

Corpo della richiesta:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Ad esempio:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Se l'operazione ha esito positivo, riceverai una risposta JSON simile alla seguente:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Per ottenere lo stato di un'operazione di aggiornamento di lunga durata, utilizza l'ID operazione nel valore name della risposta JSON. Utilizzando l'esempio precedente, l'ID operazione è 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Quindi, effettua la seguente richiesta, sostituendo i valori segnaposto con i tuoi:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Ad esempio:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Se l'operazione ha esito positivo, riceverai una risposta JSON simile alla seguente:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}