Les noms de certains packages de contrôles Assured Workloads ont été modifiés. Pour en savoir plus sur ce changement de nom, consultez Avis concernant le changement de nom du package Control.

Appliquer les mises à jour de charge de travail

Cette page explique comment activer, afficher et appliquer les mises à jour des charges de travail pour les dossiers Assured Workloads. Assured Workloads met régulièrement à jour ses packages de contrôles avec de nouveaux paramètres et des améliorations générales, comme les valeurs de contraintes de règles d'organisation mises à jour. Cette fonctionnalité vous permet d'évaluer la configuration actuelle de votre dossier Assured Workloads par rapport à la dernière configuration disponible et de choisir d'appliquer les mises à jour proposées.

Par défaut, cette fonctionnalité est automatiquement activée pour les nouveaux dossiers Assured Workloads. Pour les dossiers existants, nous vous recommandons vivement de suivre la procédure pour activer les mises à jour des charges de travail.

Cette fonctionnalité n'entraîne aucun frais supplémentaire et n'affecte pas le comportement de la surveillance Assured Workloads. Vous recevrez toujours une alerte lorsque votre dossier ne respectera plus sa configuration actuelle, que des mises à jour de sa configuration soient disponibles ou non.

Présentation des mises à jour des charges de travail

Lorsque vous créez un dossier Assured Workloads, le type de package de contrôles que vous sélectionnez (par exemple, FedRAMP modéré) détermine les différents paramètres de configuration qui sont appliqués à votre charge de travail. Certains de ces paramètres sont visibles en externe sous la forme de contraintes de règles d'administration, tandis que d'autres ne s'appliquent qu'aux systèmes internes de Google. Assured Workloads utilise un système interne de gestion des versions de configuration pour conserver les modifications apportées à chaque type de package de contrôles.

Lorsqu'une nouvelle version de configuration interne est disponible, Assured Workloads compare la configuration de votre charge de travail à la nouvelle version interne. Toutes les différences sont analysées, et les améliorations qui en résultent sont disponibles sous forme de mise à jour que vous pouvez appliquer à la configuration de votre charge de travail. Lorsque ces améliorations incluent la prise en charge d'un nouveau service, toutes les contraintes liées aux règles de l'organisation requises pour ce service peuvent également être appliquées à votre charge de travail.

Les mises à jour Assured Workloads disponibles ont été vérifiées par Google pour s'assurer qu'elles respectent les exigences du package de contrôles de votre charge de travail. Toutefois, il vous incombe toujours d'examiner chaque mise à jour disponible pour vérifier qu'elle répond aux exigences réglementaires ou de conformité de votre organisation. Pour en savoir plus, consultez Responsabilité partagée dans Assured Workloads.

Types de mises à jour acceptés

Cette fonctionnalité permet d'afficher et d'appliquer les types de mises à jour suivants dans un dossier Assured Workloads :

Contraintes de règles d'administration : toutes les contraintes de règles d'administration applicables à votre charge de travail et appliquées par Assured Workloads peuvent être incluses dans une mise à jour de la charge de travail, à l'exception des suivantes :
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Remarque : Les mises à jour de gcp.restrictServiceUsage sont disponibles dans la console Google Cloud , mais pas lorsque vous utilisez l'API Assured Workloads. Par exemple, vous ne recevrez pas de mises à jour gcp.restrictServiceUsage lorsque vous appellerez la méthode updates, comme décrit dans la section Afficher les mises à jour de la charge de travail.

Avant de commencer

Identifiez les ID de ressources des dossiers Assured Workloads pour lesquels activer les mises à jour.
Attribuez ou vérifiez les autorisations IAM sur les dossiers et charges de travail Assured Workloads cibles.

Autorisations IAM requises

Pour activer, afficher ou appliquer des mises à jour de charge de travail, l'appelant doit disposer d'autorisations IAM à l'aide d'une des méthodes suivantes : rôle prédéfini qui comprend un ensemble d'autorisations plus étendu, ou rôle personnalisé qui est limité aux autorisations minimales nécessaires. Notez que l'autorisation orgpolicy.policy.set requise n'est pas disponible pour les rôles personnalisés.

Les autorisations suivantes sont requises :

assuredworkloads.workload.update sur la charge de travail cible pour activer les mises à jour. Cette autorisation est incluse dans les rôles prédéfinis Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list sur la charge de travail cible pour afficher les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.update sur la charge de travail cible pour appliquer les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.operations.get sur la charge de travail cible pour obtenir l'état et les résultats d'une opération de mise à jour. Cette autorisation est incluse dans les rôles prédéfinis Lecteur Assured Workloads (roles/assuredworkloads.reader), Éditeur Assured Workloads (roles/assuredworkloads.editor) et Administrateur Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get sur le dossier cible pour appliquer les mises à jour disponibles. Cette autorisation est incluse dans les rôles prédéfinis Lecteur des règles d'administration de l'organisation (roles/orgpolicy.policyViewer) et Administrateur des règles d'administration de l'organisation (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set sur le dossier cible pour appliquer les mises à jour disponibles. Cette autorisation n'est pas compatible avec les rôles personnalisés, mais elle est incluse dans le rôle prédéfini Administrateur des règles de l'organisation (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy et resourcemanager.folders.setIamPolicy sur le dossier cible pour activer les mises à jour. Ces autorisations sont incluses dans le rôle Administrateur IAM du dossier (roles/resourcemanager.folderIamAdmin) et dans d'autres rôles prédéfinis très permissifs.

Activer les mises à jour des charges de travail

Lorsque vous activez les mises à jour des charges de travail, l'agent de service Assured Workloads est créé. Ce rôle est ensuite attribué à l'agent de service sur le dossier Assured Workloads cible : Agent de service Assured Workloads (roles/assuredworkloads.serviceAgent). Ce rôle permet à l'agent de service de vérifier si des mises à jour sont disponibles pour le dossier.

Pour activer les mises à jour des charges de travail, procédez comme suit :

Console

Dans la console Google Cloud , accédez à la page Assured Workloads.

Accéder à Assured Workloads
En haut de la page, dans le volet Présentation des mises à jour de conformité, cliquez sur Activer les mises à jour de conformité.
Lorsque vous êtes invité à activer les mises à jour de conformité, cliquez sur Activer.

Les mises à jour des charges de travail sont désormais activées pour tous les dossiers Assured Workloads de votre organisation.

REST

La méthode enableComplianceUpdates permet à Assured Workloads de vous informer des mises à jour d'un seul dossier Assured Workloads.

Méthode HTTP, URL et paramètres de requête :

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Remplacez les espaces réservés suivants par vos propres valeurs :

ENDPOINT_URI : URI du point de terminaison du service Assured Workloads. Cet URI doit correspondre au point de terminaison de l'emplacement de la charge de travail de destination, par exemple https://us-west1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-west1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
ORGANIZATION_ID : ID de l'organisation du dossier Assured Workloads (par exemple, 919698201234).
LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-west1 ou us). Elle correspond à la valeur data region de la charge de travail.
WORKLOAD_ID : ID de la charge de travail Assured Workloads pour laquelle activer les mises à jour (par exemple, 00-701ea036-7152-4780-a867-9f5).

Exemple :

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Afficher les mises à jour des charges de travail

Pour afficher les mises à jour des charges de travail, procédez comme suit :

Console

Dans la console Google Cloud , accédez à la page Assured Workloads.

Accéder à Assured Workloads
Dans la colonne Nom, cliquez sur le nom du dossier Assured Workloads pour lequel vous souhaitez afficher les mises à jour. Vous pouvez également cliquer sur le lien dans la colonne Mises à jour si des mises à jour sont disponibles pour le dossier.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Si des mises à jour de règles d'administration sont disponibles, elles s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte qui seront appliqués par la mise à jour.

Remarque : Si des mises à jour gcp.restrictServiceUsage sont disponibles, les contraintes requises liées aux règles d'administration spécifiques à un service n'apparaîtront pas dans la liste des mises à jour disponibles. Toutefois, si vous choisissez d'appliquer une mise à jour gcp.restrictServiceUsage, ces contraintes requises (telles que compute.disableGlobalCloudArmorPolicy pour la limite de données de l'UE) seront appliquées à votre charge de travail.

REST

La méthode organizations.locations.workloads.updates.list liste les mises à jour disponibles pour une charge de travail Assured Workloads.

Méthode HTTP, URL et paramètres de requête :

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Remplacez les espaces réservés suivants par vos propres valeurs :

ENDPOINT_URI : URI du point de terminaison du service Assured Workloads. Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple https://us-central1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-central1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
ORGANIZATION_ID : ID de l'organisation du dossier Assured Workloads (par exemple, 919698201234).
LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-central1 ou us). Elle correspond à la valeur data region de la charge de travail.
WORKLOAD_ID : ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles, par exemple 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (facultatif) : limite le nombre de mises à jour à renvoyer dans la réponse. Si aucune valeur n'est spécifiée, la valeur par défaut est définie sur 20. La valeur maximale est de 100.
PAGE_TOKEN (facultatif) : lorsqu'une ou plusieurs pages sont disponibles, un jeton pour la page suivante est renvoyé dans la réponse JSON (par exemple, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ). Si aucune valeur n'est spécifiée, aucune page suivante ne sera renvoyée.

Exemple :

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant :

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Appliquer les mises à jour de charge de travail

L'application d'une mise à jour à une charge de travail est une opération de longue durée. Si la configuration de votre charge de travail change après le début de l'opération et avant sa fin, une erreur peut se produire.

De plus, les mises à jour des charges de travail sont réévaluées régulièrement par rapport à la dernière configuration disponible. Dans ce cas, des mises à jour supplémentaires peuvent être disponibles immédiatement après l'application d'une mise à jour.

Pour appliquer les mises à jour de charge de travail, procédez comme suit :

Console

Dans la console Google Cloud , accédez à la page Assured Workloads.

Accéder à Assured Workloads
Dans la colonne Nom, cliquez sur le nom du dossier Assured Workloads pour lequel vous souhaitez afficher les mises à jour. Vous pouvez également cliquer sur le lien dans la colonne Mises à jour si des mises à jour sont disponibles pour le dossier.
Sous Mises à jour disponibles, cliquez sur Vérifier les mises à jour disponibles.
Si des mises à jour de règles d'administration sont disponibles, elles s'affichent dans l'onglet Règle d'administration. Examinez la contrainte de règle d'administration concernée, puis cliquez sur Afficher la mise à jour pour prévisualiser les paramètres de contrainte mis à jour.

Remarque : Si des mises à jour gcp.restrictServiceUsage sont disponibles, les contraintes requises liées aux règles d'administration spécifiques à un service n'apparaîtront pas dans la liste des mises à jour disponibles. Toutefois, si vous choisissez d'appliquer une mise à jour gcp.restrictServiceUsage, ces contraintes requises (telles que compute.disableGlobalCloudArmorPolicy pour la limite de données de l'UE) seront appliquées à votre charge de travail.
Cliquez sur Mettre à jour la règle d'administration pour appliquer la modification.

L'opération de mise à jour de longue durée démarre et les nouveaux paramètres des règles d'administration du dossier sont appliqués.

REST

La méthode organizations.locations.workloads.updates.apply applique la mise à jour spécifiée à une charge de travail Assured Workloads.

Méthode HTTP, URL et paramètres de requête :

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Remplacez les espaces réservés suivants par vos propres valeurs :

ENDPOINT_URI : URI du point de terminaison du service Assured Workloads. Cet URI doit être le point de terminaison correspondant à l'emplacement de la charge de travail de destination, par exemple https://us-central1-assuredworkloads.googleapis.com pour une charge de travail régionalisée dans la région us-central1 et https://us-assuredworkloads.googleapis.com pour une charge de travail multirégionale aux États-Unis.
ORGANIZATION_ID : ID de l'organisation du dossier Assured Workloads (par exemple, 919698201234).
LOCATION_ID : emplacement du dossier Assured Workloads (par exemple, us-central1 ou us). Elle correspond à la valeur data region de la charge de travail.
WORKLOAD_ID : ID de la charge de travail Assured Workloads pour laquelle lister les mises à jour disponibles, par exemple 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID : ID de la mise à jour à appliquer, sélectionné dans la liste des mises à jour disponibles renvoyée par la méthode organizations.locations.workloads.updates.list (par exemple, edb84871-833b-45ec-9c00-c9b5c19d2d87).

Corps de la requête :

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Exemple :

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant :

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Pour obtenir l'état d'une opération de mise à jour de longue durée, utilisez l'ID d'opération dans la valeur name de la réponse JSON. En reprenant l'exemple précédent, l'ID d'opération est 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Envoyez ensuite la requête suivante, en remplaçant les valeurs des espaces réservés par les vôtres :

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Exemple :

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Si l'opération réussit, vous recevrez une réponse JSON semblable à l'exemple suivant :

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}