החלת עדכונים בעומס העבודה
בדף הזה מוסבר איך להפעיל, להציג ולהחיל עדכונים של עומסי עבודה בתיקיות של Assured Workloads. Assured Workloads מעדכן באופן קבוע את חבילות הבקרה שלו עם הגדרות חדשות ושיפורים כלליים, כמו ערכי אילוצים מעודכנים של מדיניות הארגון. התכונה הזו מאפשרת להשוות את ההגדרה הנוכחית של תיקיית עומסי העבודה המאובטחים להגדרה העדכנית שזמינה, ולבחור להחיל עדכונים מוצעים.
כברירת מחדל, התכונה הזו מופעלת אוטומטית בתיקיות חדשות של Assured Workloads. בתיקיות קיימות, מומלץ מאוד לפעול לפי השלבים להפעלת עדכונים של עומסי עבודה.
השימוש בתכונה הזו לא כרוך בחיובים נוספים, והיא לא משפיעה על ההתנהגות של המעקב אחרי Assured Workloads. עדיין תקבלו התראה אם התיקייה לא תעמוד בדרישות התאימות של ההגדרה הנוכחית שלה, גם אם יש עדכונים זמינים להגדרה שלה.
סקירה כללית של עדכונים לגבי עומס העבודה
כשיוצרים תיקייה חדשה של Assured Workloads, סוג חבילת הבקרה שבוחרים – כמו FedRAMP Moderate – קובע את הגדרות התצורה השונות שמוחלות על עומס העבודה. חלק מההגדרות האלה גלויות חיצונית בצורה של אילוצים של מדיניות הארגון, אבל חלק אחר רלוונטי רק למערכות הפנימיות של Google. ב-Assured Workloads נעשה שימוש במערכת פנימית לניהול גרסאות של הגדרות, כדי לעקוב אחרי השינויים בכל סוג של חבילת אמצעי בקרה.
כשגרסה חדשה של הגדרה פנימית הופכת לזמינה, Assured Workloads משווה את ההגדרה של עומס העבודה לגרסה הפנימית החדשה. כל ההבדלים נבדקים, והשיפורים שמתקבלים זמינים כעדכון שאפשר להחיל על ההגדרה של עומס העבודה. אם השיפורים האלה כוללים תמיכה בשירות חדש, יכול להיות שגם מגבלות של מדיניות הארגון שנדרשות לשירות הזה יחולו על עומס העבודה שלכם.
Google אימתה שעדכונים זמינים של Assured Workloads עומדים בדרישות של חבילת הבקרה של עומס העבודה. עם זאת, האחריות לבדיקה של כל עדכון זמין כדי לוודא שהוא עומד בדרישות הרגולטוריות או בדרישות התאימות של הארגון חלה עליכם. מידע נוסף זמין במאמר בנושא אחריות משותפת ב-Assured Workloads.
סוגי עדכונים נתמכים
התכונה הזו תומכת בצפייה בסוגי העדכונים הבאים וביישום שלהם בתיקייה של Assured Workloads:
מגבלות מדיניות הארגון: אפשר לכלול בעדכון של עומס העבודה כל מגבלות מדיניות הארגון שחלות על עומס העבודה ואוכפות על ידי Assured Workloads, למעט המגבלות הבאות:
gcp.resourceLocationsgcp.restrictCmekCryptoKeyProjects
שליטה בשלבי ההשקה של חבילות: התכונה הזו תומכת רק בהצגה ובהחלה של עדכונים כשחבילת בקרה מסוימת נמצאת באותו שלב השקה כמו בזמן הפריסה הראשונית שלה. לדוגמה, אם אתם פורסים עומס עבודה לחבילת בקרה כשהיא בשלב ההשקה של תצוגה מקדימה, ומאוחר יותר חבילת הבקרה הזו הופכת לזמינה לכלל המשתמשים, אתם צריכים לפרוס מחדש את עומס העבודה באמצעות הגרסה שזמינה לכלל המשתמשים לפני שתוכלו להחיל עדכונים. אם לא תפרוסו מחדש את עומס העבודה, יכול להיות שתיתקלו בשגיאות או בהפרות של דרישות התאימות אחרי שתנסו להחיל עדכונים.
לפני שמתחילים
- מזהים את מזהי המשאבים של תיקיות Assured Workloads שרוצים להפעיל בהן עדכונים.
- הקצאה או אימות של הרשאות IAM בתיקיות ובעומסי העבודה של Assured Workloads ביעד.
הרשאות IAM נדרשות
כדי להפעיל, לראות או להחיל עדכונים של עומסי עבודה, למשתמש שקורא ל-API צריכות להיות הרשאות IAM. אפשר להשתמש בתפקיד מוגדר מראש שכולל קבוצה רחבה יותר של הרשאות, או בתפקיד בהתאמה אישית שמוגבל להרשאות המינימליות הנדרשות. שימו לב: אי אפשר להשתמש בהרשאה הנדרשת orgpolicy.policy.set בתפקידים בהתאמה אישית.
נדרשות ההרשאות הבאות:
-
assuredworkloads.workload.updateבעומס העבודה של היעד כדי להפעיל עדכונים. ההרשאה הזו כלולה בתפקידים המוגדרים מראש עורך Assured Workloads (roles/assuredworkloads.editor) ואדמין Assured Workloads (roles/assuredworkloads.admin). assuredworkloads.updates.listבעומס העבודה הרצוי כדי לראות את העדכונים הזמינים. ההרשאה הזו כלולה בתפקידים המוגדרים מראש Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor) ו-Assured Workloads Admin (roles/assuredworkloads.admin).-
assuredworkloads.updates.updateבעומס העבודה של היעד כדי להחיל את העדכונים הזמינים. ההרשאה הזו כלולה בתפקידים המוגדרים מראש עורך Assured Workloads (roles/assuredworkloads.editor) ואדמין Assured Workloads (roles/assuredworkloads.admin). -
assuredworkloads.operations.getבעומס העבודה של היעד כדי לקבל את הסטטוס ואת התוצאות של פעולת עדכון. ההרשאה הזו כלולה בתפקידים המוגדרים מראש Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor) ו-Assured Workloads Admin (roles/assuredworkloads.admin). orgpolicy.policy.getבתיקיית היעד כדי להחיל את העדכונים הזמינים. ההרשאה הזו כלולה בתפקידים המוגדרים מראש צפייה במדיניות הארגון (roles/orgpolicy.policyViewer) ואדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin).orgpolicy.policy.setבתיקיית היעד כדי להחיל את העדכונים הזמינים. אי אפשר לתת את ההרשאה הזו בתפקידים בהתאמה אישית, אבל היא כלולה בתפקיד המוגדר מראש Organization Policy Administrator (roles/orgpolicy.policyAdmin).-
resourcemanager.folders.getIamPolicyו-resourcemanager.folders.setIamPolicyבתיקיית היעד כדי להפעיל עדכונים. ההרשאות האלה כלולות בתפקיד Folder IAM Admin (roles/resourcemanager.folderIamAdmin) ובתפקידים מוגדרים מראש אחרים עם הרבה הרשאות.
הפעלת עדכונים של עומסי עבודה
כשמפעילים עדכונים של עומסי עבודה, נוצר סוכן שירות של Assured Workloads. לאחר מכן, לסוכן השירות הזה מוקצה התפקיד סוכן שירות של Assured Workloads (roles/assuredworkloads.serviceAgent) בתיקיית היעד של Assured Workloads. התפקיד הזה מאפשר לסוכן השירות לבדוק אם יש עדכונים זמינים בתיקייה.
כדי להפעיל עדכונים של עומסי עבודה:
המסוף
נכנסים לדף Assured Workloads במסוף Google Cloud .
בחלק העליון של הדף בחלונית הצגת עדכוני תאימות, לוחצים על הפעלת עדכוני תאימות.
כשמופיעה ההודעה הפעלת עדכוני תאימות?, לוחצים על הפעלה.
העדכונים של עומסי העבודה מופעלים עכשיו בכל התיקיות של Assured Workloads בארגון שלכם.
REST
השיטה
enableComplianceUpdates
מאפשרת ל-Assured Workloads לשלוח לכם הודעות על עדכונים בתיקייה אחת של Assured Workloads.
שיטת HTTP, כתובת URL ופרמטרים של שאילתה:
PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates
מחליפים את הערכים הזמניים לשמירת מקום (placeholder) בערכים משלכם:
- ENDPOINT_URI: ה-URI של נקודת הקצה של שירות Assured Workloads.
ה-URI הזה חייב להיות נקודת הקצה שתואמת למיקום של עומס העבודה ביעד, למשל
https://us-west1-assuredworkloads.googleapis.comלעומס עבודה אזורי באזורus-west1ו-https://us-assuredworkloads.googleapis.comלעומס עבודה במספר אזורים בארה"ב. - ORGANIZATION_ID: מזהה הארגון של תיקיית Assured Workloads, לדוגמה
919698201234. - LOCATION_ID: המיקום של תיקיית Assured Workloads, לדוגמה,
us-west1אוus. הוא תואם לערךdata regionשל עומס העבודה. - WORKLOAD_ID: המזהה של עומס העבודה ב-Assured Workloads שרוצים להפעיל בו עדכונים, לדוגמה:
00-701ea036-7152-4780-a867-9f5.
לדוגמה:
PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdatesצפייה בעדכונים של עומס העבודה
כדי לראות עדכונים לגבי עומסי עבודה:
המסוף
נכנסים לדף Assured Workloads במסוף Google Cloud .
בעמודה Name (שם), לוחצים על השם של תיקיית Assured Workloads שרוצים לראות את העדכונים שלה. לחלופין, אם יש עדכונים לתיקייה, לוחצים על הקישור בעמודה עדכונים.
בקטע עדכונים זמינים, לוחצים על בדיקת עדכונים זמינים.
אם יש עדכונים זמינים למדיניות הארגון, הם מוצגים בכרטיסייה מדיניות הארגון. בודקים את האילוץ של מדיניות הארגון שהושפע מהעדכון ולוחצים על הצגת העדכון כדי לראות תצוגה מקדימה של הגדרות האילוץ שיוחלו בעקבות העדכון.
REST
השיטה organizations.locations.workloads.updates.list מציגה רשימה של עדכונים זמינים לעומס עבודה של Assured Workloads.
שיטת HTTP, כתובת URL ופרמטרים של שאילתה:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]
מחליפים את הערכים הזמניים לשמירת מקום (placeholder) בערכים משלכם:
- ENDPOINT_URI: ה-URI של נקודת הקצה של שירות Assured Workloads.
ה-URI הזה צריך להיות נקודת הקצה שתואמת למיקום של עומס העבודה ביעד, למשל
https://us-central1-assuredworkloads.googleapis.comלעומס עבודה אזורי באזורus-central1ו-https://us-assuredworkloads.googleapis.comלעומס עבודה במספר אזורים בארה"ב. - ORGANIZATION_ID: מזהה הארגון של תיקיית Assured Workloads, לדוגמה
919698201234. - LOCATION_ID: המיקום של תיקיית Assured Workloads, לדוגמה,
us-central1אוus. הוא תואם לערךdata regionשל עומס העבודה. - WORKLOAD_ID: המזהה של עומס העבודה ב-Assured Workloads שלגביו רוצים לראות את רשימת העדכונים הזמינים, לדוגמה:
00-701ea036-7152-4780-a867-9f5. - PAGE_SIZE (אופציונלי): מגביל את מספר העדכונים שיוחזרו בתגובה. אם לא מציינים ערך, ערך ברירת המחדל הוא
20. הערך המקסימלי הוא100. - PAGE_TOKEN (אופציונלי): אם יש דף אחד או יותר, טוקן לדף הבא מוחזר בתגובת ה-JSON – לדוגמה,
nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. אם לא מצוין, לא יוחזרו דפים נוספים.
לדוגמה:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updatesאם הפעולה בוצעה ללא שגיאות, תקבלו תגובת JSON שדומה לדוגמה הבאה:
{ "workloadUpdates": [ { "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3", "state": "AVAILABLE", "createTime": "2024-10-01T16:33:10.154368Z", "updateTime": "2024-10-01T16:33:10.154368Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", ] } } }, "suggestedPolicy": { "resource": "folders/376585579673", "constraint": "constraints/gcp.resourceLocations", "rule": { "values": { "allowedValues": [ "us-central1", "us-central2", "us-west1", ] } } } } } } ], "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ" }
החלת עדכונים בעומס העבודה
החלת עדכון של עומס עבודה על עומס עבודה היא פעולה ממושכת. אם התצורה של עומס העבודה משתנה אחרי שהפעולה מתחילה ולפני שהיא מסתיימת, יכולה להתרחש שגיאה.
בנוסף, עדכונים של עומסי עבודה מוערכים מחדש באופן תקופתי בהשוואה להגדרה העדכנית ביותר שזמינה. במקרה כזה, יכול להיות שיהיו עדכונים נוספים זמינים מיד אחרי שתחיל עדכון.
כדי להחיל עדכונים על עומסי עבודה:
המסוף
נכנסים לדף Assured Workloads במסוף Google Cloud .
בעמודה Name (שם), לוחצים על השם של תיקיית Assured Workloads שרוצים לראות את העדכונים שלה. לחלופין, אם יש עדכונים לתיקייה, לוחצים על הקישור בעמודה עדכונים.
בקטע עדכונים זמינים, לוחצים על בדיקת עדכונים זמינים.
אם יש עדכונים זמינים למדיניות הארגון, הם מוצגים בכרטיסייה מדיניות הארגון. בודקים את האילוץ של מדיניות הארגון שהושפע ולוחצים על הצגת העדכון כדי לראות תצוגה מקדימה של הגדרות האילוץ המעודכנות.
לוחצים על עדכון מדיניות הארגון כדי להחיל את העדכון.
פעולת העדכון ארוכת הטווח מתחילה, והגדרות המדיניות החדשות של הארגון יחולו על התיקייה.
REST
השיטה organizations.locations.workloads.updates.apply מחילה את העדכון שצוין על עומס עבודה של Assured Workloads.
שיטת HTTP, כתובת URL ופרמטרים של שאילתה:
POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply
מחליפים את הערכים הזמניים לשמירת מקום (placeholder) בערכים משלכם:
- ENDPOINT_URI: ה-URI של נקודת הקצה של שירות Assured Workloads.
ה-URI הזה צריך להיות נקודת הקצה שתואמת למיקום של עומס העבודה ביעד, למשל
https://us-central1-assuredworkloads.googleapis.comלעומס עבודה אזורי באזורus-central1ו-https://us-assuredworkloads.googleapis.comלעומס עבודה במספר אזורים בארה"ב. - ORGANIZATION_ID: מזהה הארגון של תיקיית Assured Workloads, לדוגמה
919698201234. - LOCATION_ID: המיקום של תיקיית Assured Workloads, לדוגמה,
us-central1אוus. הוא תואם לערךdata regionשל עומס העבודה. - WORKLOAD_ID: המזהה של עומס העבודה ב-Assured Workloads שלגביו רוצים לראות את רשימת העדכונים הזמינים, לדוגמה:
00-701ea036-7152-4780-a867-9f5. - UPDATE_ID: המזהה של העדכון שרוצים להחיל, שנבחר מתוך רשימת העדכונים הזמינים שמוחזרים על ידי השיטה
organizations.locations.workloads.updates.list. לדוגמה:edb84871-833b-45ec-9c00-c9b5c19d2d87.
גוף הבקשה:
{ "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]", "action": "APPLY" }
לדוגמה:
POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply{ "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "action": "APPLY" }
אם הפעולה בוצעה ללא שגיאות, תקבלו תגובת JSON שדומה לדוגמה הבאה:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "create_time": "2024-10-01T14:34:30.290896Z", "action": "APPLY" } }
כדי לקבל את הסטטוס של פעולת עדכון ארוכת טווח, משתמשים במזהה הפעולה בערך name מתגובת ה-JSON. בדוגמה הקודמת, מזהה הפעולה הוא 647b1c77-b9a5-45d2-965e-70a1e867fe5b. לאחר מכן שולחים את הבקשה הבאה, ומחליפים את הערכים הזמניים לשמירת מקום בערכים שלכם:
GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]
לדוגמה:
GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5bאם הפעולה בוצעה ללא שגיאות, תקבלו תגובת JSON שדומה לדוגמה הבאה:
{ "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b", "metadata": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata", "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87", "createTime": "2024-10-01T13:33:09Z" "action": "APPLY" }, "done": true "response": { "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse", "appliedUpdate": { "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300", "state": "APPLIED", "createTime": "2024-10-01T14:31:24.310323Z", "updateTime": "2024-10-01T14:34:30.855792Z", "details": { "orgPolicyUpdate": { "appliedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": true } }, "suggestedPolicy": { "resource": "folders/196232301850", "constraint": "constraints/compute.disableInstanceDataAccessApis", "rule": { "enforce": false } } } } } } }