Aplica actualizaciones de cargas de trabajo
En esta página, se describe cómo habilitar, ver y aplicar actualizaciones de cargas de trabajo para carpetas de Assured Workloads. Assured Workloads actualiza periódicamente sus paquetes de control con parámetros de configuración nuevos y mejoras generales, como valores actualizados de restricciones de políticas de la organización. Esta función te permite evaluar la configuración actual de tu carpeta de Assured Workloads en comparación con la configuración más reciente disponible y elegir aplicar las actualizaciones propuestas.
De forma predeterminada, esta función se habilita automáticamente para las carpetas nuevas de Assured Workloads. Para las carpetas existentes, te recomendamos que sigas los pasos para habilitar las actualizaciones de cargas de trabajo.
Esta función no genera cargos adicionales ni afecta el comportamiento de la supervisión de Assured Workloads. Seguirás recibiendo alertas cuando tu carpeta deje de cumplir con su configuración actual, independientemente de si hay actualizaciones disponibles para su configuración.
Descripción general de las actualizaciones de cargas de trabajo
Cuando creas una carpeta nueva de Assured Workloads, el tipo de paquete de control que seleccionas, como FedRAMP Moderate, determina los diversos parámetros de configuración que se aplican a tu carga de trabajo. Algunos de estos parámetros de configuración son visibles de forma externa en forma de restricciones de políticas de la organización, aunque otros solo se aplican a los sistemas internos de Google. Assured Workloads usa un sistema interno de control de versiones de configuración para mantener los cambios de cada tipo de paquete de control.
Cuando se encuentra disponible una nueva versión de configuración interna, Assured Workloads compara la configuración de tu carga de trabajo con la nueva versión interna. Se analizan las diferencias y las mejoras resultantes se encuentran disponibles como una actualización que puedes aplicar a la configuración de tu carga de trabajo. Cuando estas mejoras incluyen compatibilidad con un servicio nuevo, también se pueden aplicar a tu carga de trabajo las restricciones de políticas de la organización necesarias para ese servicio.
Google verificó que las actualizaciones disponibles de Assured Workloads cumplen con los requisitos del paquete de control de tu carga de trabajo. Sin embargo, sigue siendo tu responsabilidad revisar cada actualización disponible para verificar que cumpla con los requisitos reglamentarios o de cumplimiento de tu organización. Para obtener más información, consulta Responsabilidad compartida en Assured Workloads.
Tipos de actualizaciones compatibles
Esta función admite la visualización y la aplicación de los siguientes tipos de actualizaciones en una carpeta de Assured Workloads:
Restricciones de políticas de la organización: Cualquier restricción de políticas de la organización que se aplique a tu carga de trabajo y que Assured Workloads aplique puede incluirse en una actualización de carga de trabajo, con las siguientes excepciones:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
Etapas de lanzamiento del paquete de control: Esta función solo admite la visualización y la aplicación de actualizaciones cuando un paquete de control determinado se encuentra en la misma etapa de lanzamiento que cuando lo implementaste por primera vez. Por ejemplo, si implementas una carga de trabajo para un paquete de control cuando está en la etapa de lanzamiento de vista previa y ese paquete de control luego está disponible de forma general, primero debes volver a implementar tu carga de trabajo con la versión de GA antes de poder aplicar actualizaciones. Si no vuelves a implementar tu carga de trabajo, es posible que encuentres errores o incumplimientos después de intentar aplicar actualizaciones.
Antes de comenzar
- Identifica los IDs de recursos de las carpetas de Assured Workloads para las que habilitarás las actualizaciones.
- Asigna o verifica los permisos de IAM en las carpetas y cargas de trabajo de Assured Workloads de destino.
Permisos de IAM obligatorios
Para habilitar, ver o aplicar actualizaciones de cargas de trabajo, el emisor debe tener
permisos de IAM mediante un
rol predefinido que incluya un
conjunto más amplio de permisos, o un
rol personalizado que está restringido a los permisos
mínimos necesarios. Ten en cuenta que el permiso orgpolicy.policy.set obligatorio no está disponible para su uso en roles personalizados.
Los siguientes permisos son obligatorios:
assuredworkloads.workload.updateen la carga de trabajo de destino para habilitar las actualizaciones. Este permiso se incluye en los roles predefinidosroles/assuredworkloads.editor) Editor de Assured Workloads y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.listen la carga de trabajo de destino para ver las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor), y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.updates.updateen la carga de trabajo de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos Editor de Assured Workloads (roles/assuredworkloads.editor), y Administrador de Assured Workloads (roles/assuredworkloads.admin).assuredworkloads.operations.geten la carga de trabajo de destino para obtener el estado y los resultados de una operación de actualización. Este permiso se incluye en los roles predefinidos Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor), y Administrador de Assured Workloads (roles/assuredworkloads.admin).orgpolicy.policy.geten la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos Visualizador de políticas de la organización (roles/orgpolicy.policyViewer) y Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).orgpolicy.policy.seten la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso no es compatible con los roles personalizados, pero se incluye en el rol predefinido Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).resourcemanager.folders.getIamPolicyyresourcemanager.folders.setIamPolicyen la carpeta de destino para habilitar las actualizaciones. Estos permisos se incluyen en el rol Administrador de IAM de carpetas (roles/resourcemanager.folderIamAdmin) y otros roles predefinidos altamente permisivos.
Habilita las actualizaciones de cargas de trabajo
Cuando habilitas las actualizaciones de cargas de trabajo, se
crea el agente de servicio de Assured Workloads. Luego, a este agente de servicio se le otorga el
rol Agente de servicio de Assured Workloads (roles/assuredworkloads.serviceAgent)
en la carpeta de Assured Workloads de destino. Este rol permite que el agente de servicio verifique si hay actualizaciones disponibles en la carpeta.
Para habilitar las actualizaciones de cargas de trabajo, completa los siguientes pasos:
Console
En la Google Cloud consola de, ve a la página **Assured Workloads**.
En la parte superior de la página, en el panel Introducing Compliance Updates , haz clic en Enable compliance updates.
Cuando se te solicite Enable compliance updates?, haz clic en Enable.
Las actualizaciones de cargas de trabajo ahora están habilitadas para todas las carpetas de Assured Workloads de tu organización.
REST
El
enableComplianceUpdates
método permite que Assured Workloads te notifique sobre las actualizaciones de una
sola carpeta de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: El URI del extremo de servicio de Assured Workloads
.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-west1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-west1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización para la
carpeta de Assured Workloads, por ejemplo,
919698201234. - LOCATION_ID: La ubicación de la carpeta de Assured Workloads
, por ejemplo,
us-west1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: El ID de la carga de trabajo de Assured Workloads
para la que habilitarás las actualizaciones, por ejemplo,
00-701ea036-7152-4780-a867-9f5.
Por ejemplo:
PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesVisualiza actualizaciones de cargas de trabajo
Para ver las actualizaciones de cargas de trabajo, completa los siguientes pasos:
Console
En la Google Cloud consola de, ve a la página **Assured Workloads**.
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar las actualizaciones disponibles.
Si están disponibles, las actualizaciones de políticas de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de políticas de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de restricciones que aplicará la actualización.
REST
El
organizations.locations.workloads.updates.list
método muestra las actualizaciones disponibles para una carga de trabajo de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: El URI del extremo de servicio de Assured Workloads
.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-central1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-central1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización para la
carpeta de Assured Workloads, por ejemplo,
919698201234. - LOCATION_ID: La ubicación de la carpeta de Assured Workloads
, por ejemplo,
us-central1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: El ID de la carga de trabajo de Assured Workloads
para la que se enumerarán las actualizaciones disponibles, por ejemplo,
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (opcional): Limita la cantidad de actualizaciones que se mostrarán en
la respuesta. Si no se especifica, el valor predeterminado se establece en
20. El valor máximo es100. - PAGE_TOKEN (opcional): Cuando hay una o más páginas disponibles,
se muestra un token para la página siguiente en la respuesta JSON, por
ejemplo,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si no se especifica, no se mostrarán páginas posteriores.
Por ejemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesSi la operación se realiza correctamente, recibirás una respuesta JSON similar al siguiente ejemplo:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
Aplica actualizaciones de cargas de trabajo
Aplicar una actualización de carga de trabajo a una carga de trabajo es una operación de larga duración. Si la configuración de tu carga de trabajo cambia después de iniciar la operación y antes de que se complete, es posible que se produzca un error.
Además, las actualizaciones de cargas de trabajo se vuelven a evaluar periódicamente en función de la configuración más reciente disponible. En este caso, es posible que haya actualizaciones adicionales disponibles inmediatamente después de que hayas aplicado una actualización.
Para aplicar las actualizaciones de cargas de trabajo, completa los siguientes pasos:
Console
En la Google Cloud consola de, ve a la página **Assured Workloads**.
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar las actualizaciones disponibles.
Si están disponibles, las actualizaciones de políticas de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de políticas de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de restricciones actualizada.
Haz clic en Actualizar política de la organización para aplicar la actualización.
Se inicia la operación de actualización de larga duración y se aplicará la nueva configuración de políticas de la organización de la carpeta.
REST
El
organizations.locations.workloads.updates.apply
método aplica la actualización especificada para una carga de trabajo de Assured Workloads.
Método HTTP, URL y parámetros de consulta:
POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
Reemplaza los siguientes valores de marcador de posición por los tuyos:
- ENDPOINT_URI: El URI del extremo de servicio de Assured Workloads
.
Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como
https://us-central1-assuredworkloads.googleapis.compara una carga de trabajo regionalizada en la regiónus-central1yhttps://us-assuredworkloads.googleapis.compara una carga de trabajo multirregional en EE.UU. - ORGANIZATION_ID: El ID de la organización para la
carpeta de Assured Workloads, por ejemplo,
919698201234. - LOCATION_ID: La ubicación de la carpeta de Assured Workloads
, por ejemplo,
us-central1ous. Corresponde al valordata regionde la carga de trabajo. - WORKLOAD_ID: El ID de la carga de trabajo de Assured Workloads
para la que se enumerarán las actualizaciones disponibles, por ejemplo,
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: El ID de la actualización que se aplicará, seleccionada de la lista
de actualizaciones disponibles que muestra el
organizations.locations.workloads.updates.listmétodo, por ejemplo,edb84871-833b-45ec-9c00-c9b5c19d2d87.
Cuerpo de la solicitud:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
Por ejemplo:
POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
Si la operación se realiza correctamente, recibirás una respuesta JSON similar al siguiente ejemplo:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
Para obtener el estado de una operación de actualización de larga duración, usa el ID de operación en el valor name de la respuesta JSON. Con el ejemplo anterior, el ID de operación es 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Luego, realiza la siguiente solicitud y reemplaza los valores de marcador de posición por los tuyos:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
Por ejemplo:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bSi la operación se realiza correctamente, recibirás una respuesta JSON similar al siguiente ejemplo:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }