Nama untuk beberapa paket kontrol Assured Workloads telah berubah. Untuk mengetahui informasi tentang perubahan nama, lihat Pemberitahuan penggantian nama paket kontrol.

Menerapkan update beban kerja

Halaman ini menjelaskan cara mengaktifkan, melihat, dan menerapkan update workload untuk folder Assured Workloads. Assured Workloads secara rutin mengupdate paket kontrol dengan setelan baru dan peningkatan umum, seperti nilai batasan kebijakan organisasi yang diperbarui. Fitur ini memungkinkan Anda mengevaluasi konfigurasi folder Assured Workloads saat ini berdasarkan konfigurasi terbaru yang tersedia, dan memilih untuk menerapkan pembaruan yang diusulkan.

Secara default, fitur ini otomatis diaktifkan untuk folder Assured Workloads baru. Untuk folder yang sudah ada, sebaiknya Anda mengikuti langkah-langkah untuk mengaktifkan update workload.

Fitur ini tidak menimbulkan biaya tambahan, dan tidak memengaruhi perilaku pemantauan Assured Workloads; Anda akan tetap diberi tahu jika folder Anda tidak mematuhi konfigurasi saat ini, terlepas dari apakah update pada konfigurasinya tersedia atau tidak.

Ringkasan update workload

Saat Anda membuat folder Assured Workloads baru, jenis paket kontrol yang Anda pilih—seperti FedRAMP Sedang—akan menentukan berbagai setelan konfigurasi yang diterapkan pada beban kerja Anda. Beberapa setelan ini terlihat secara eksternal dalam bentuk batasan kebijakan organisasi, meskipun yang lain hanya berlaku untuk sistem internal Google. Assured Workloads menggunakan sistem pembuatan versi konfigurasi internal untuk mempertahankan perubahan untuk setiap jenis paket kontrol.

Saat versi konfigurasi internal baru tersedia, Assured Workloads akan membandingkan konfigurasi workload Anda dengan versi internal baru. Setiap perbedaan akan dianalisis, dan peningkatan yang dihasilkan akan tersedia sebagai update yang dapat Anda terapkan pada konfigurasi workload Anda. Jika peningkatan tersebut mencakup dukungan untuk layanan baru, batasan kebijakan organisasi yang diperlukan untuk layanan tersebut juga dapat diterapkan pada workload Anda.

Update Assured Workloads yang tersedia telah diverifikasi oleh Google agar mematuhi persyaratan paket kontrol workload Anda. Namun, Anda tetap bertanggung jawab untuk meninjau setiap update yang tersedia guna memverifikasi bahwa update tersebut memenuhi persyaratan peraturan atau kepatuhan organisasi Anda. Lihat Tanggung jawab bersama di Assured Workloads untuk mengetahui informasi selengkapnya.

Jenis update yang didukung

Fitur ini mendukung penayangan dan penerapan jenis update berikut di folder Assured Workloads:

Batasan kebijakan organisasi: Batasan kebijakan organisasi apa pun yang berlaku untuk workload Anda dan diterapkan oleh Assured Workloads dapat disertakan dalam update workload, dengan pengecualian berikut:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Catatan: Update gcp.restrictServiceUsage tersedia di konsol Google Cloud , tetapi tidak tersedia saat menggunakan Assured Workloads API. Misalnya, Anda tidak akan menerima update gcp.restrictServiceUsage saat memanggil metode updates seperti yang dijelaskan di bagian Melihat update workload.

Sebelum memulai

Identifikasi ID resource untuk folder Assured Workloads yang akan diaktifkan pembaruannya.
Tetapkan atau verifikasi izin IAM pada target folder dan beban kerja Assured Workloads.

Izin IAM yang diperlukan

Untuk mengaktifkan, melihat, atau menerapkan update beban kerja, pemanggil harus diberi izin IAM menggunakan peran bawaan yang mencakup serangkaian izin yang lebih luas, atau peran khusus yang dibatasi untuk izin minimum yang diperlukan. Perhatikan bahwa izin orgpolicy.policy.set yang diperlukan tidak tersedia untuk digunakan dalam peran khusus.

Izin berikut diperlukan:

assuredworkloads.workload.update pada beban kerja target untuk mengaktifkan update. Izin ini disertakan dalam peran bawaan Assured Workloads Editor (roles/assuredworkloads.editor) dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.updates.list pada workload target untuk melihat update yang tersedia. Izin ini disertakan dalam peran bawaan Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.updates.update pada workload target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran bawaan Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
assuredworkloads.operations.get pada workload target untuk mendapatkan status dan hasil operasi update. Izin ini disertakan dalam peran bawaan Assured Workloads Reader (roles/assuredworkloads.reader), Assured Workloads Editor (roles/assuredworkloads.editor), dan Assured Workloads Admin (roles/assuredworkloads.admin).
orgpolicy.policy.get pada folder target untuk menerapkan update yang tersedia. Izin ini disertakan dalam peran bawaan Pelihat Kebijakan Organisasi (roles/orgpolicy.policyViewer) dan Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set pada folder target untuk menerapkan update yang tersedia. Izin ini tidak didukung dalam peran khusus, tetapi disertakan dalam peran bawaan Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy dan resourcemanager.folders.setIamPolicydi folder target untuk mengaktifkan pembaruan. Izin ini disertakan dalam peran Admin IAM Folder (roles/resourcemanager.folderIamAdmin) dan peran bawaan lainnya dengan izin yang sangat luas.

Mengaktifkan update workload

Saat Anda mengaktifkan update workload, Assured Workloads Service Agent akan dibuat. Agen layanan ini kemudian diberi peran Assured Workloads Service Agent (roles/assuredworkloads.serviceAgent) di folder Assured Workloads target. Peran ini memungkinkan agen layanan memeriksa apakah ada update yang tersedia di folder.

Untuk mengaktifkan update workload, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud , buka halaman Assured Workloads.

Buka Assured Workloads
Di bagian atas halaman pada panel Memperkenalkan Pembaruan Kepatuhan, klik Aktifkan pembaruan kepatuhan.
Saat diminta untuk Aktifkan pembaruan kepatuhan?, klik Aktifkan.

Update workload kini diaktifkan untuk semua folder Assured Workloads di organisasi Anda.

REST

Metode enableComplianceUpdates memungkinkan Assured Workloads memberi tahu Anda tentang update untuk satu folder Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads. URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti https://us-west1-assuredworkloads.googleapis.com untuk beban kerja yang diregionalkan di region us-west1 dan https://us-assuredworkloads.googleapis.com untuk beban kerja multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads—misalnya, us-west1 atau us. Nilai ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan diaktifkan pembaruannya—misalnya, 00-701ea036-7152-4780-a867-9f5.

Contoh:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Melihat pembaruan beban kerja

Untuk melihat update workload, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud , buka halaman Assured Workloads.

Buka Assured Workloads
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat pembaruannya. Atau, jika update tersedia untuk folder, klik link di kolom Update.
Di bagian Update yang tersedia, klik Tinjau update yang tersedia.
Jika tersedia, update kebijakan organisasi akan ditampilkan di tab Kebijakan organisasi. Tinjau batasan kebijakan organisasi yang terpengaruh, lalu klik Lihat update untuk melihat pratinjau setelan batasan yang akan diterapkan oleh update.

Catatan: Jika update gcp.restrictServiceUsage tersedia, batasan kebijakan organisasi khusus layanan yang diperlukan untuk layanan tidak akan muncul dalam daftar update yang tersedia. Namun, jika Anda memilih untuk menerapkan update gcp.restrictServiceUsage, batasan yang diperlukan ini (seperti compute.disableGlobalCloudArmorPolicy untuk Batas Data Uni Eropa) akan diterapkan ke workload Anda.

REST

Metode organizations.locations.workloads.updates.list mencantumkan update yang tersedia untuk workload Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads. URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti https://us-central1-assuredworkloads.googleapis.com untuk beban kerja yang diregionalkan di region us-central1 dan https://us-assuredworkloads.googleapis.com untuk beban kerja multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads—misalnya, us-central1 atau us. Nilai ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan mencantumkan update yang tersedia—misalnya, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (Opsional): Membatasi jumlah pembaruan yang akan ditampilkan dalam respons. Jika tidak ditentukan, nilai defaultnya ditetapkan ke 20. Nilai maksimumnya adalah 100.
PAGE_TOKEN (Opsional): Jika satu atau beberapa halaman tersedia, token untuk halaman berikutnya akan ditampilkan dalam respons JSON—misalnya, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Jika tidak ditentukan, tidak ada halaman berikutnya yang akan ditampilkan.

Contoh:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Menerapkan update beban kerja

Menerapkan update workload ke workload adalah operasi yang berjalan lama. Jika konfigurasi beban kerja Anda berubah setelah operasi dimulai dan sebelum selesai, error mungkin terjadi.

Selain itu, update workload dievaluasi ulang secara berkala berdasarkan konfigurasi terbaru yang tersedia. Dalam hal ini, update tambahan mungkin tersedia segera setelah Anda menerapkan update.

Untuk menerapkan update workload, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud , buka halaman Assured Workloads.

Buka Assured Workloads
Di kolom Name, klik nama folder Assured Workloads yang ingin Anda lihat pembaruannya. Atau, jika update tersedia untuk folder, klik link di kolom Update.
Di bagian Update yang tersedia, klik Tinjau update yang tersedia.
Jika tersedia, update kebijakan organisasi akan ditampilkan di tab Kebijakan organisasi. Tinjau batasan kebijakan organisasi yang terpengaruh, lalu klik Lihat pembaruan untuk melihat pratinjau setelan batasan yang telah diperbarui.

Catatan: Jika update gcp.restrictServiceUsage tersedia, batasan kebijakan organisasi khusus layanan yang diperlukan untuk layanan tidak akan muncul dalam daftar update yang tersedia. Namun, jika Anda memilih untuk menerapkan update gcp.restrictServiceUsage, batasan yang diperlukan ini (seperti compute.disableGlobalCloudArmorPolicy untuk Batas Data Uni Eropa) akan diterapkan ke workload Anda.
Klik Perbarui kebijakan organisasi untuk menerapkan pembaruan.

Operasi update yang berjalan lama dimulai, dan setelan kebijakan organisasi baru folder akan diterapkan.

REST

Metode organizations.locations.workloads.updates.apply menerapkan update yang ditentukan untuk workload Assured Workloads.

Metode HTTP, URL, dan parameter kueri:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Ganti nilai placeholder berikut dengan nilai Anda sendiri:

ENDPOINT_URI: URI endpoint layanan Assured Workloads. URI ini harus berupa endpoint yang cocok dengan lokasi beban kerja tujuan, seperti https://us-central1-assuredworkloads.googleapis.com untuk beban kerja yang diregionalkan di region us-central1 dan https://us-assuredworkloads.googleapis.com untuk beban kerja multi-region di AS.
ORGANIZATION_ID: ID organisasi untuk folder Assured Workloads—misalnya, 919698201234.
LOCATION_ID: Lokasi folder Assured Workloads—misalnya, us-central1 atau us. Nilai ini sesuai dengan nilai data region workload.
WORKLOAD_ID: ID workload Assured Workloads yang akan mencantumkan update yang tersedia—misalnya, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: ID update yang akan diterapkan, dipilih dari daftar update yang tersedia yang ditampilkan oleh metode organizations.locations.workloads.updates.list—misalnya, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Isi permintaan:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Contoh:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Untuk mendapatkan status operasi update yang berjalan lama, gunakan ID operasi dalam nilai name dari respons JSON. Dengan menggunakan contoh sebelumnya, ID operasi adalah 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Kemudian, buat permintaan berikut, dengan mengganti nilai placeholder dengan nilai Anda sendiri:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Contoh:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Jika berhasil, Anda akan menerima respons JSON yang mirip dengan contoh berikut:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}