Die Namen einiger Assured Workloads-Kontrollpakete haben sich geändert. Weitere Informationen zur Namensänderung finden Sie unter Hinweis zur Umbenennung von Kontrollpaketen.

Arbeitslastupdates anwenden

Auf dieser Seite wird beschrieben, wie Sie Arbeitslastupdates für Assured Workloads-Ordner aktivieren, ansehen und anwenden. Assured Workloads aktualisiert die Kontrollpakete regelmäßig mit neuen Einstellungen und allgemeinen Verbesserungen, z. B. aktualisierten Werten für Einschränkungen von Organisationsrichtlinien. Mit dieser Funktion können Sie Ihre aktuelle Assured Workloads-Ordnerkonfiguration mit der neuesten verfügbaren Konfiguration vergleichen und vorgeschlagene Updates anwenden.

Standardmäßig ist dieses Feature automatisch für neue Assured Workloads-Ordner aktiviert. Für vorhandene Ordner empfehlen wir dringend, die Schritte zum Aktivieren von Arbeitslastupdates auszuführen.

Für diese Funktion fallen keine zusätzlichen Gebühren an. Sie hat auch keine Auswirkungen auf das Verhalten des Assured Workloads-Monitorings. Sie werden weiterhin benachrichtigt, wenn Ihr Ordner nicht mehr der aktuellen Konfiguration entspricht, unabhängig davon, ob Updates für die Konfiguration verfügbar sind.

Arbeitslastupdates – Übersicht

Wenn Sie einen neuen Assured Workloads-Ordner erstellen, bestimmt der von Ihnen ausgewählte Kontrollpakettyp, z. B. FedRAMP Moderate, die verschiedenen Konfigurationseinstellungen, die auf Ihre Arbeitslast angewendet werden. Einige dieser Einstellungen sind in Form von Einschränkungen der Organisationsrichtlinien extern sichtbar, andere gelten nur für die internen Systeme von Google. Assured Workloads verwendet ein internes System zur Versionsverwaltung von Konfigurationen, um Änderungen für jeden Kontrollpakettyp zu verwalten.

Wenn eine neue interne Konfigurationsversion verfügbar wird, vergleicht Assured Workloads die Konfiguration Ihrer Arbeitslast mit der neuen internen Version. Alle Unterschiede werden analysiert und die daraus resultierenden Verbesserungen sind als Update verfügbar, das Sie auf die Konfiguration Ihrer Arbeitslast anwenden können. Wenn solche Verbesserungen die Unterstützung für einen neuen Dienst umfassen, werden alle für diesen Dienst erforderlichen Einschränkungen der Organisationsrichtlinie möglicherweise auch auf Ihre Arbeitslast angewendet.

Verfügbare Assured Workloads-Updates wurden von Google geprüft und entsprechen den Anforderungen des Kontrollpakets Ihrer Arbeitslast. Es liegt jedoch weiterhin in Ihrer Verantwortung, jedes verfügbare Update zu prüfen, um sicherzustellen, dass es den regulatorischen oder Compliance-Anforderungen Ihrer Organisation entspricht. Weitere Informationen finden Sie unter Geteilte Verantwortung in Assured Workloads.

Unterstützte Aktualisierungstypen

Mit dieser Funktion können Sie die folgenden Arten von Updates für einen Assured Workloads-Ordner ansehen und anwenden:

Einschränkungen für Organisationsrichtlinien: Alle Einschränkungen für Organisationsrichtlinien, die für Ihre Arbeitslast gelten und von Assured Workloads erzwungen werden, können in ein Arbeitslast-Update aufgenommen werden. Es gelten jedoch die folgenden Ausnahmen:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Hinweis: gcp.restrictServiceUsage-Updates sind in der Google Cloud Konsole verfügbar, aber nicht, wenn Sie die Assured Workloads API verwenden. Beispielsweise erhalten Sie keine gcp.restrictServiceUsage-Updates, wenn Sie die Methode updates wie im Abschnitt Arbeitslastupdates ansehen beschrieben aufrufen.

Hinweise

Ermitteln Sie die Ressourcen-IDs der Assured Workloads-Ordner, für die Sie Updates aktivieren möchten.
IAM-Berechtigungen zuweisen oder prüfen für die Zielordner und ‑arbeitslasten von Assured Workloads.

Erforderliche IAM-Berechtigungen

Zum Aktivieren, Aufrufen oder Anwenden von Arbeitslastupdates benötigt der Aufrufer IAM-Berechtigungen, entweder mit einer vordefinierten Rolle, die mehr Berechtigungen umfasst, oder einer benutzerdefinierten Rolle, die auf die minimal erforderlichen Berechtigungen beschränkt ist. Die erforderliche Berechtigung orgpolicy.policy.set kann nicht in benutzerdefinierten Rollen verwendet werden.

Folgende Berechtigungen sind erforderlich:

assuredworkloads.workload.update für die Zielarbeitslast, um Updates zu aktivieren. Diese Berechtigung ist in den vordefinierten Rollen Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
assuredworkloads.updates.list für die Zielarbeitslast, um verfügbare Updates aufzurufen. Diese Berechtigung ist in den vordefinierten Rollen Leser von Assured Workloads (roles/assuredworkloads.reader), Bearbeiter von Assured Workloads (roles/assuredworkloads.editor) und Administrator von Assured Workloads (roles/assuredworkloads.admin) enthalten.
assuredworkloads.updates.update für die Zielarbeitslast, um verfügbare Updates anzuwenden. Diese Berechtigung ist in den vordefinierten Rollen Assured Workloads-Bearbeiter (roles/assuredworkloads.editor) und Assured Workloads-Administrator (roles/assuredworkloads.admin) enthalten.
assuredworkloads.operations.get für die Zielarbeitslast, um den Status und die Ergebnisse eines Aktualisierungsvorgangs abzurufen. Diese Berechtigung ist in den vordefinierten Rollen Leser von Assured Workloads (roles/assuredworkloads.reader), Bearbeiter von Assured Workloads (roles/assuredworkloads.editor) und Administrator von Assured Workloads (roles/assuredworkloads.admin) enthalten.
Klicken Sie auf orgpolicy.policy.get im Zielordner, um verfügbare Updates anzuwenden. Diese Berechtigung ist in den vordefinierten Rollen Betrachter für Organisationsrichtlinien (roles/orgpolicy.policyViewer) und Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) enthalten.
Klicken Sie auf orgpolicy.policy.set im Zielordner, um verfügbare Updates anzuwenden. Diese Berechtigung wird in benutzerdefinierten Rollen nicht unterstützt, ist aber in der vordefinierten Rolle Organisationsrichtlinienadministrator (roles/orgpolicy.policyAdmin) enthalten.
resourcemanager.folders.getIamPolicy und resourcemanager.folders.setIamPolicy für den Zielordner, um Aktualisierungen zu ermöglichen. Diese Berechtigungen sind in der Rolle Folder IAM Admin (roles/resourcemanager.folderIamAdmin) und anderen vordefinierten Rollen mit hohen Berechtigungen enthalten.

Arbeitslastupdates aktivieren

Wenn Sie Workload-Updates aktivieren, wird der Assured Workloads-Dienst-Agent erstellt. Diesem Dienst-Agent wird dann die Rolle Assured Workloads Service Agent (roles/assuredworkloads.serviceAgent) für den Assured Workloads-Zielordner zugewiesen. Mit dieser Rolle kann der Kundenservicemitarbeiter nach verfügbaren Updates für den Ordner suchen.

So aktivieren Sie Arbeitslast-Updates:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie oben auf der Seite im Bereich Einführung von Compliance-Updates auf Compliance-Updates aktivieren.
Wenn Sie gefragt werden, ob Sie Compliance-Updates aktivieren möchten, klicken Sie auf Aktivieren.

Arbeitslast-Updates sind jetzt für alle Assured Workloads-Ordner in Ihrer Organisation aktiviert.

REST

Mit der Methode enableComplianceUpdates können Sie sich von Assured Workloads über Updates für einen einzelnen Assured Workloads-Ordner benachrichtigen lassen.

HTTP-Methode, URL und Abfrageparameter:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der Dienstendpunkt-URI für Assured Workloads. Dieser URI muss dem Endpunkt entsprechen, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-west1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-west1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Assured Workloads“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Assured Workloads-Ordners, z. B. us-west1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die Updates aktiviert werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.

Beispiel:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Arbeitslastupdates ansehen

So rufen Sie Arbeitslast-Updates auf:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie in der Spalte Name auf den Namen des Assured Workloads-Ordners, für den Sie Updates ansehen möchten. Wenn Updates für den Ordner verfügbar sind, können Sie alternativ auf den Link in der Spalte Updates klicken.
Klicken Sie unter Verfügbare Updates auf Verfügbare Updates prüfen.
Sofern verfügbar, werden Updates der Organisationsrichtlinie auf dem Tab Organisationsrichtlinie angezeigt. Sehen Sie sich die betroffene Einschränkung der Organisationsrichtlinie an und klicken Sie auf Update ansehen, um eine Vorschau der Einschränkungseinstellungen zu sehen, die durch das Update angewendet werden.

Hinweis :Wenn gcp.restrictServiceUsage-Updates verfügbar sind, werden alle erforderlichen dienstspezifischen Einschränkungen für Organisationsrichtlinien für einen Dienst nicht in der Liste der verfügbaren Updates angezeigt. Wenn Sie jedoch ein gcp.restrictServiceUsage-Update anwenden, werden diese erforderlichen Einschränkungen (z. B. compute.disableGlobalCloudArmorPolicy für die EU-Datengrenze) auf Ihre Arbeitslast angewendet.

REST

Mit der Methode organizations.locations.workloads.updates.list werden verfügbare Updates für eine Assured Workloads-Arbeitslast aufgeführt.

HTTP-Methode, URL und Abfrageparameter:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der Dienstendpunkt-URI für Assured Workloads. Dieser URI muss der Endpunkt sein, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-central1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-central1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Assured Workloads“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Assured Workloads-Ordners, z. B. us-central1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die verfügbare Updates aufgeführt werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (Optional): Beschränkt die Anzahl der Updates, die in der Antwort zurückgegeben werden. Wenn nicht angegeben, wird der Standardwert auf 20 festgelegt. Der Höchstwert ist 100.
PAGE_TOKEN (Optional): Wenn eine oder mehrere Seiten verfügbar sind, wird in der JSON-Antwort ein Token für die nächste Seite zurückgegeben, z. B. nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Wenn nicht angegeben, werden keine nachfolgenden Seiten zurückgegeben.

Beispiel:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Arbeitslastupdates anwenden

Das Anwenden eines Arbeitslastupdates auf eine Arbeitslast ist ein Vorgang mit langer Ausführungszeit. Wenn sich die Konfiguration Ihrer Arbeitslast nach dem Starten des Vorgangs und vor dessen Abschluss ändert, kann ein Fehler auftreten.

Außerdem werden Arbeitslastupdates regelmäßig anhand der neuesten verfügbaren Konfiguration neu bewertet. In diesem Fall sind möglicherweise sofort nach der Installation eines Updates weitere Updates verfügbar.

So wenden Sie Arbeitslast-Updates an:

Console

Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

Zu „Assured Workloads“
Klicken Sie in der Spalte Name auf den Namen des Assured Workloads-Ordners, für den Sie Updates ansehen möchten. Wenn Updates für den Ordner verfügbar sind, können Sie alternativ auf den Link in der Spalte Updates klicken.
Klicken Sie unter Verfügbare Updates auf Verfügbare Updates prüfen.
Sofern verfügbar, werden Updates der Organisationsrichtlinie auf dem Tab Organisationsrichtlinie angezeigt. Sehen Sie sich die betroffene Einschränkung für die Organisationsrichtlinie an und klicken Sie auf Aktualisierung ansehen, um eine Vorschau der aktualisierten Einschränkungseinstellungen aufzurufen.

Hinweis :Wenn gcp.restrictServiceUsage-Updates verfügbar sind, werden alle erforderlichen dienstspezifischen Einschränkungen für Organisationsrichtlinien für einen Dienst nicht in der Liste der verfügbaren Updates angezeigt. Wenn Sie jedoch ein gcp.restrictServiceUsage-Update anwenden, werden diese erforderlichen Einschränkungen (z. B. compute.disableGlobalCloudArmorPolicy für die EU-Datengrenze) auf Ihre Arbeitslast angewendet.
Klicken Sie auf Organisationsrichtlinie aktualisieren, um die Aktualisierung anzuwenden.

Der Vorgang mit langer Ausführungszeit zum Aktualisieren wird gestartet und die neuen Organisationsrichtlinieneinstellungen des Ordners werden angewendet.

REST

Die Methode organizations.locations.workloads.updates.apply wendet das angegebene Update für eine Assured Workloads-Arbeitslast an.

HTTP-Methode, URL und Abfrageparameter:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Ersetzen Sie die folgenden Platzhalterwerte durch Ihre eigenen:

ENDPOINT_URI: Der Dienstendpunkt-URI für Assured Workloads. Dieser URI muss der Endpunkt sein, der dem Standort der Zielarbeitslast entspricht, z. B. https://us-central1-assuredworkloads.googleapis.com für eine regionalisierte Arbeitslast in der Region us-central1 und https://us-assuredworkloads.googleapis.com für eine multiregionale Arbeitslast in den USA.
ORGANIZATION_ID: Die Organisations-ID für den Ordner „Assured Workloads“, z. B. 919698201234.
LOCATION_ID: Der Speicherort des Assured Workloads-Ordners, z. B. us-central1 oder us. Er entspricht dem data region-Wert der Arbeitslast.
WORKLOAD_ID: Die ID der Assured Workloads-Arbeitslast, für die verfügbare Updates aufgeführt werden sollen, z. B. 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: Die ID des anzuwendenden Updates, ausgewählt aus der Liste der verfügbaren Updates, die von der Methode organizations.locations.workloads.updates.list zurückgegeben werden, z. B. edb84871-833b-45ec-9c00-c9b5c19d2d87.

Anfragetext:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Beispiel:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Wenn Sie den Status eines Updatevorgangs mit langer Ausführungszeit abrufen möchten, verwenden Sie die Vorgangs-ID im name-Wert aus der JSON-Antwort. Im vorherigen Beispiel lautet die Vorgangs-ID 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Stellen Sie dann die folgende Anfrage und ersetzen Sie die Platzhalterwerte durch Ihre eigenen:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Beispiel:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Bei erfolgreicher Ausführung erhalten Sie eine JSON-Antwort ähnlich der folgenden:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}