Cambiaron los nombres de algunos paquetes de controles de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta el Aviso sobre el cambio de nombre del paquete de control.

Aplica actualizaciones de la carga de trabajo

En esta página, se describe cómo habilitar, ver y aplicar actualizaciones de cargas de trabajo para las carpetas de Assured Workloads. Assured Workloads actualiza periódicamente sus paquetes de controles con nuevos parámetros de configuración y mejoras generales, como valores actualizados de restricciones de políticas de la organización. Esta función te permite evaluar la configuración actual de tu carpeta de Assured Workloads en comparación con la configuración disponible más reciente y elegir aplicar las actualizaciones propuestas.

De forma predeterminada, esta función se habilita automáticamente para las carpetas nuevas de Assured Workloads. En el caso de las carpetas existentes, te recomendamos que sigas los pasos para habilitar las actualizaciones de cargas de trabajo.

Esta función no genera cargos adicionales ni afecta el comportamiento de la supervisión de Assured Workloads. Seguirás recibiendo alertas cuando tu carpeta deje de cumplir con la configuración actual, independientemente de si hay actualizaciones disponibles para su configuración.

Descripción general de las actualizaciones de la carga de trabajo

Cuando creas una carpeta nueva de Assured Workloads, el tipo de paquete de controles que seleccionas, como FedRAMP Moderate, determina los distintos parámetros de configuración que se aplican a tu carga de trabajo. Algunos de estos parámetros de configuración son visibles de forma externa como restricciones de políticas de la organización, aunque otros solo se aplican a los sistemas internos de Google. Assured Workloads usa un sistema interno de control de versiones de la configuración para mantener los cambios de cada tipo de paquete de controles.

Cuando hay disponible una nueva versión de la configuración interna, Assured Workloads compara la configuración de tu carga de trabajo con la nueva versión interna. Se analizan las diferencias y las mejoras resultantes se encuentran disponibles como una actualización que puedes aplicar a la configuración de tu carga de trabajo. Cuando estas mejoras incluyen la compatibilidad con un servicio nuevo, es posible que también se apliquen a tu carga de trabajo las restricciones de políticas de la organización que se requieran para ese servicio.

Google verificó que las actualizaciones disponibles de Assured Workloads cumplen con los requisitos del paquete de controles de tu carga de trabajo. Sin embargo, sigue siendo tu responsabilidad revisar cada actualización disponible para verificar que cumpla con los requisitos reglamentarios o de cumplimiento de tu organización. Consulta Responsabilidad compartida en Assured Workloads para obtener más información.

Tipos de actualizaciones admitidos

Esta función admite la visualización y la aplicación de los siguientes tipos de actualizaciones en una carpeta de Assured Workloads:

Restricciones de políticas de la organización: Cualquier restricción de política de la organización que se aplique a tu carga de trabajo y que Assured Workloads aplique se puede incluir en una actualización de la carga de trabajo, con las siguientes excepciones:
- gcp.resourceLocations
- gcp.restrictCmekCryptoKeyProjects
Nota: Las actualizaciones de gcp.restrictServiceUsage están disponibles en la consola de Google Cloud , pero no cuando se usa la API de Assured Workloads. Por ejemplo, no recibirás actualizaciones de gcp.restrictServiceUsage cuando llames al método updates, como se describe en la sección Cómo ver las actualizaciones de la carga de trabajo.
Controla las etapas de lanzamiento del paquete: Esta función solo admite la visualización y la aplicación de actualizaciones cuando un paquete de control determinado se encuentra en la misma etapa de lanzamiento que cuando lo implementaste por primera vez. Por ejemplo, si implementas una carga de trabajo para un paquete de control cuando se encuentra en la etapa de lanzamiento de versión preliminar y, más adelante, ese paquete de control pasa a estar disponible de forma general, primero debes volver a implementar tu carga de trabajo con la versión de DG antes de poder aplicar actualizaciones. Si no vuelves a implementar tu carga de trabajo, es posible que se produzcan errores o incumplimientos después de intentar aplicar actualizaciones.

Antes de comenzar

Identifica los IDs de los recursos de las carpetas de Assured Workloads para las que se habilitarán las actualizaciones.
Asigna o verifica los permisos de IAM en las carpetas y cargas de trabajo de Assured Workloads de destino.

Permisos de IAM obligatorios

Para habilitar, ver o aplicar actualizaciones de cargas de trabajo, el emisor debe tener permisos de IAM a través de un rol predefinido que incluya un conjunto más amplio de permisos o un rol personalizado que esté restringido a los permisos mínimos necesarios. Ten en cuenta que el permiso orgpolicy.policy.set requerido no está disponible para su uso en roles personalizados.

Los siguientes permisos son obligatorios:

assuredworkloads.workload.update en la carga de trabajo de destino para habilitar las actualizaciones. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.list en la carga de trabajo de destino para ver las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.updates.update en la carga de trabajo de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
assuredworkloads.operations.get en la carga de trabajo de destino para obtener el estado y los resultados de una operación de actualización. Este permiso se incluye en los roles predefinidos de Lector de Assured Workloads (roles/assuredworkloads.reader), Editor de Assured Workloads (roles/assuredworkloads.editor) y Administrador de Assured Workloads (roles/assuredworkloads.admin).
orgpolicy.policy.get en la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso se incluye en los roles predefinidos de Visualizador de políticas de la organización (roles/orgpolicy.policyViewer) y Administrador de políticas de la organización (roles/orgpolicy.policyAdmin).
orgpolicy.policy.set en la carpeta de destino para aplicar las actualizaciones disponibles. Este permiso no se admite en los roles personalizados, pero se incluye en el rol predefinido de administrador de políticas de la organización (roles/orgpolicy.policyAdmin).
resourcemanager.folders.getIamPolicy y resourcemanager.folders.setIamPolicy en la carpeta de destino para habilitar las actualizaciones. Estos permisos se incluyen en el rol Administrador de IAM de la carpeta (roles/resourcemanager.folderIamAdmin) y en otros roles predefinidos con muchos permisos.

Habilitar las actualizaciones de la carga de trabajo

Cuando habilitas las actualizaciones de la carga de trabajo, se crea el agente de servicio de Assured Workloads. Luego, a este agente de servicio se le otorga el rol de Agente de servicio de Assured Workloads (roles/assuredworkloads.serviceAgent) en la carpeta de Assured Workloads de destino. Este rol permite que el agente de servicio verifique si hay actualizaciones disponibles en la carpeta.

Para habilitar las actualizaciones de cargas de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud , ve a la página Assured Workloads.

Ir a Assured Workloads
En la parte superior de la página, en el panel Introducing Compliance Updates, haz clic en Enable compliance updates.
Cuando se te solicite ¿Habilitar actualizaciones de cumplimiento?, haz clic en Habilitar.

Las actualizaciones de cargas de trabajo ahora están habilitadas para todas las carpetas de Assured Workloads en tu organización.

REST

El método enableComplianceUpdates permite que Assured Workloads te notifique sobre las actualizaciones de una sola carpeta de Assured Workloads.

Método HTTP, URL y parámetros de consulta:

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como https://us-west1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-west1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización de la carpeta de Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de la carpeta de Assured Workloads, por ejemplo, us-west1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se habilitarán las actualizaciones, por ejemplo, 00-701ea036-7152-4780-a867-9f5.

Por ejemplo:

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Consulta las actualizaciones de la carga de trabajo

Para ver las actualizaciones de la carga de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud , ve a la página Assured Workloads.

Ir a Assured Workloads
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si hay actualizaciones disponibles, se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción que se aplicará con la actualización.

Nota: Si hay actualizaciones de gcp.restrictServiceUsage disponibles, las restricciones de políticas de la organización específicas del servicio requeridas para un servicio no aparecerán en la lista de actualizaciones disponibles. Sin embargo, si eliges aplicar una actualización de gcp.restrictServiceUsage, estas restricciones obligatorias (como compute.disableGlobalCloudArmorPolicy para el límite de datos de la UE) se aplicarán a tu carga de trabajo.

REST

El método organizations.locations.workloads.updates.list enumera las actualizaciones disponibles para una carga de trabajo de Assured Workloads.

Método HTTP, URL y parámetros de consulta:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización de la carpeta de Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de la carpeta de Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se enumerarán las actualizaciones disponibles, por ejemplo, 00-701ea036-7152-4780-a867-9f5.
PAGE_SIZE (opcional): Limita la cantidad de actualizaciones que se mostrarán en la respuesta. Si no se especifica, el valor predeterminado se establece en 20. El valor máximo es 100.
PAGE_TOKEN (opcional): Cuando hay una o más páginas disponibles, se devuelve un token para la página siguiente en la respuesta JSON, por ejemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si no se especifica, no se devolverán páginas posteriores.

Por ejemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Si se ejecuta correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplica actualizaciones de la carga de trabajo

Aplicar una actualización de carga de trabajo a una carga de trabajo es una operación de larga duración. Si la configuración de tu carga de trabajo cambia después de iniciar la operación y antes de que se complete, es posible que se produzca un error.

Además, las actualizaciones de la carga de trabajo se vuelven a evaluar periódicamente en función de la configuración disponible más reciente. En este caso, es posible que haya actualizaciones adicionales disponibles inmediatamente después de que apliques una.

Para aplicar actualizaciones de cargas de trabajo, completa los siguientes pasos:

Console

En la consola de Google Cloud , ve a la página Assured Workloads.

Ir a Assured Workloads
En la columna Nombre, haz clic en el nombre de la carpeta de Assured Workloads para la que deseas ver las actualizaciones. Como alternativa, si hay actualizaciones disponibles para la carpeta, haz clic en el vínculo de la columna Actualizaciones.
En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.
Si hay actualizaciones disponibles, se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para obtener una vista previa de la configuración de la restricción actualizada.

Nota: Si hay actualizaciones de gcp.restrictServiceUsage disponibles, las restricciones de políticas de la organización específicas del servicio requeridas para un servicio no aparecerán en la lista de actualizaciones disponibles. Sin embargo, si eliges aplicar una actualización de gcp.restrictServiceUsage, estas restricciones obligatorias (como compute.disableGlobalCloudArmorPolicy para el límite de datos de la UE) se aplicarán a tu carga de trabajo.
Haz clic en Actualizar política de la organización para aplicar la actualización.

Se inicia la operación de actualización de larga duración y se aplicará la nueva configuración de la política de la organización de la carpeta.

REST

El método organizations.locations.workloads.updates.apply aplica la actualización especificada para una carga de trabajo de Assured Workloads.

Método HTTP, URL y parámetros de consulta:

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Reemplaza los siguientes valores de marcador de posición por los tuyos:

ENDPOINT_URI: el URI del extremo de servicio de Assured Workloads. Este URI debe ser el extremo que coincida con la ubicación de la carga de trabajo de destino, como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE.UU.
ORGANIZATION_ID: Es el ID de la organización de la carpeta de Assured Workloads, por ejemplo, 919698201234.
LOCATION_ID: Es la ubicación de la carpeta de Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
WORKLOAD_ID: Es el ID de la carga de trabajo de Assured Workloads para la que se enumerarán las actualizaciones disponibles, por ejemplo, 00-701ea036-7152-4780-a867-9f5.
UPDATE_ID: Es el ID de la actualización que se aplicará, seleccionado de la lista de actualizaciones disponibles que devuelve el método organizations.locations.workloads.updates.list, por ejemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Cuerpo de la solicitud:

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Por ejemplo:

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Si se ejecuta correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para obtener el estado de una operación de actualización de larga duración, usa el ID de operación en el valor name de la respuesta JSON. En el ejemplo anterior, el ID de operación es 647b1c77-b9a5-45d2-965e-70a1e867fe5b. Luego, realiza la siguiente solicitud y reemplaza los valores de los marcadores de posición por los tuyos:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Por ejemplo:

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Si se ejecuta correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo:

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}