Aplicar actualizaciones de cargas de trabajo

En esta página se describe cómo habilitar, ver y aplicar actualizaciones de cargas de trabajo en carpetas de Assured Workloads. Assured Workloads actualiza periódicamente sus paquetes de controles con nuevos ajustes y mejoras generales, como los valores de las restricciones de las políticas de la organización. Esta función te permite evaluar la configuración actual de tu carpeta de Assured Workloads en comparación con la configuración más reciente disponible y aplicar las actualizaciones propuestas.

De forma predeterminada, esta función se habilita automáticamente en las carpetas de Assured Workloads nuevas. En el caso de las carpetas que ya tengas, te recomendamos que sigas los pasos para habilitar las actualizaciones de cargas de trabajo.

Esta función no conlleva ningún cargo adicional ni afecta al comportamiento de Monitorización de Assured Workloads. Seguirás recibiendo alertas cuando tu carpeta deje de cumplir los requisitos de su configuración actual, independientemente de si hay actualizaciones disponibles para su configuración.

Información general sobre las actualizaciones de cargas de trabajo

Cuando creas una carpeta de Assured Workloads, el tipo de paquete de control que selecciones (por ejemplo, FedRAMP Moderate) determina los distintos ajustes de configuración que se aplican a tu carga de trabajo. Algunos de estos ajustes se pueden ver externamente en forma de restricciones de políticas de la organización, aunque otros solo se aplican a los sistemas internos de Google. Assured Workloads usa un sistema interno de control de versiones de la configuración para mantener los cambios de cada tipo de paquete de controles.

Cuando haya disponible una nueva versión de configuración interna, Assured Workloads comparará la configuración de tu carga de trabajo con la nueva versión interna. Se analizan las diferencias y las mejoras resultantes se ofrecen como una actualización que puedes aplicar a la configuración de tu carga de trabajo.

Google ha verificado que las actualizaciones disponibles de Assured Workloads cumplen los requisitos del paquete de control de tu carga de trabajo. Sin embargo, sigue siendo tu responsabilidad revisar cada actualización disponible para verificar que cumple los requisitos normativos o de cumplimiento de tu organización. Consulta Responsabilidad compartida en Assured Workloads para obtener más información.

Tipos de actualizaciones admitidos

Esta función permite ver y aplicar los siguientes tipos de actualizaciones en una carpeta de Assured Workloads:

  • Restricciones de políticas de organización: cualquier restricción de política de organización que se aplique a tu carga de trabajo y que Assured Workloads aplique se puede incluir en una actualización de la carga de trabajo, con las siguientes excepciones:

    • gcp.resourceLocations
    • gcp.restrictCmekCryptoKeyProjects

Antes de empezar

Permisos de gestión de identidades y accesos necesarios

Para habilitar, ver o aplicar actualizaciones de cargas de trabajo, el llamante debe tener permisos de gestión de identidades y accesos. Para ello, puede usar un rol predefinido que incluya un conjunto más amplio de permisos o un rol personalizado que se limite a los permisos mínimos necesarios. Ten en cuenta que el permiso orgpolicy.policy.set necesario no se puede usar en roles personalizados.

Son obligatorios los siguientes permisos:

Habilitar las actualizaciones de cargas de trabajo

Cuando habilitas las actualizaciones de cargas de trabajo, se crea el agente de servicio de Assured Workloads. A este agente de servicio se le asigna el rol Agente de servicio de Assured Workloads (roles/assuredworkloads.serviceAgent) en la carpeta de Assured Workloads de destino. Este rol permite que el agente de servicio compruebe si hay actualizaciones disponibles en la carpeta.

Para habilitar las actualizaciones de cargas de trabajo, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Assured Workloads.

    Ir a Assured Workloads

  2. En la parte superior de la página, en el panel Novedades sobre el cumplimiento, haz clic en Habilitar novedades sobre el cumplimiento.

  3. Cuando se le pregunte si quiere Habilitar las actualizaciones de cumplimiento, haga clic en Habilitar.

Las actualizaciones de cargas de trabajo ya están habilitadas en todas las carpetas de Assured Workloads de tu organización.

REST

El método enableComplianceUpdates permite que Assured Workloads te notifique las actualizaciones de una sola carpeta de Assured Workloads.

Método HTTP, URL y parámetros de consulta: 

PUT https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]:enableComplianceUpdates

Sustituye los siguientes valores de marcador de posición por los tuyos:

  • ENDPOINT_URI: el URI del endpoint del servicio de Assured Workloads. Este URI debe ser el endpoint que coincida con la ubicación de la carga de trabajo de destino, como https://us-west1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-west1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE. UU.
  • ORGANIZATION_ID: el ID de la organización de la carpeta Assured Workloads. Por ejemplo, 919698201234.
  • LOCATION_ID: la ubicación de la carpeta de Assured Workloads, por ejemplo, us-west1 o us. Corresponde al valor data region de la carga de trabajo.
  • WORKLOAD_ID: el ID de la carga de trabajo de Assured Workloads para la que se van a habilitar las actualizaciones (por ejemplo, 00-701ea036-7152-4780-a867-9f5).

Por ejemplo: 

PUT https://us-west1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5:enableComplianceUpdates

Ver las actualizaciones de las cargas de trabajo

Para ver las actualizaciones de las cargas de trabajo, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Assured Workloads.

    Ir a Assured Workloads

  2. En la columna Nombre, haga clic en el nombre de la carpeta de Assured Workloads de la que quiera ver las actualizaciones. Si hay actualizaciones disponibles para la carpeta, haga clic en el enlace de la columna Actualizaciones.

  3. En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.

  4. Si están disponibles, las actualizaciones de las políticas de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para previsualizar los ajustes de la restricción que se aplicarán con la actualización.

REST

El método organizations.locations.workloads.updates.list muestra las actualizaciones disponibles de una carga de trabajo de Assured Workloads.

Método HTTP, URL y parámetros de consulta: 

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates?page_size=[PAGE_SIZE]&page_token=[PAGE_TOKEN]

Sustituye los siguientes valores de marcador de posición por los tuyos:

  • ENDPOINT_URI: el URI del endpoint del servicio de Assured Workloads. Este URI debe ser el endpoint que coincida con la ubicación de la carga de trabajo de destino, como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE. UU.
  • ORGANIZATION_ID: el ID de la organización de la carpeta Assured Workloads. Por ejemplo, 919698201234.
  • LOCATION_ID: la ubicación de la carpeta de Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
  • WORKLOAD_ID: ID de la carga de trabajo de Assured Workloads de la que se van a enumerar las actualizaciones disponibles. Por ejemplo, 00-701ea036-7152-4780-a867-9f5.
  • PAGE_SIZE (Opcional): limita el número de actualizaciones que se devuelven en la respuesta. Si no se especifica ningún valor, se utiliza 20 de forma predeterminada. El valor máximo es 100.
  • PAGE_TOKEN (Opcional): Cuando hay una o varias páginas disponibles, se devuelve un token para la página siguiente en la respuesta JSON. Por ejemplo, nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ. Si no se especifica, no se devolverán páginas posteriores.

Por ejemplo: 

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-west1/workloads/00-701ea036-7152-4781-a867-9f5/updates

Si la solicitud se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo: 

{
  "workloadUpdates": [
    {
      "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/5320de45-6c98-41af-b4a0-2ef930b124c3",
      "state": "AVAILABLE",
      "createTime": "2024-10-01T16:33:10.154368Z",
      "updateTime": "2024-10-01T16:33:10.154368Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                ]
              }
            }
          },
          "suggestedPolicy": {
            "resource": "folders/376585579673",
            "constraint": "constraints/gcp.resourceLocations",
            "rule": {
              "values": {
                "allowedValues": [
                  "us-central1",
                  "us-central2",
                  "us-west1",
                ]
              }
            }
          }
        }
      }
    }
  ],
  "nextPageToken": "chEKD4IBDAid1e-3BhCo68f6AQ"
}

Aplicar actualizaciones de cargas de trabajo

Aplicar una actualización de carga de trabajo a una carga de trabajo es una operación de larga duración. Si la configuración de tu carga de trabajo cambia después de iniciar la operación y antes de que se complete, puede producirse un error.

Además, las actualizaciones de las cargas de trabajo se vuelven a evaluar periódicamente con la configuración más reciente disponible. En este caso, es posible que haya actualizaciones adicionales disponibles inmediatamente después de aplicar una.

Para aplicar las actualizaciones de la carga de trabajo, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Assured Workloads.

    Ir a Assured Workloads

  2. En la columna Nombre, haga clic en el nombre de la carpeta de Assured Workloads de la que quiera ver las actualizaciones. Si hay actualizaciones disponibles para la carpeta, haga clic en el enlace de la columna Actualizaciones.

  3. En Actualizaciones disponibles, haz clic en Revisar actualizaciones disponibles.

  4. Si están disponibles, las actualizaciones de las políticas de la organización se muestran en la pestaña Política de la organización. Revisa la restricción de la política de la organización afectada y haz clic en Ver actualización para ver una vista previa de los ajustes de la restricción actualizada.

  5. Haz clic en Actualizar política de la organización para aplicar la actualización.

Se inicia la operación de actualización de larga duración y se aplican los nuevos ajustes de la política de la organización de la carpeta.

REST

El método organizations.locations.workloads.updates.apply aplica la actualización especificada a una carga de trabajo de Assured Workloads.

Método HTTP, URL y parámetros de consulta: 

POST https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]:apply

Sustituye los siguientes valores de marcador de posición por los tuyos:

  • ENDPOINT_URI: el URI del endpoint del servicio de Assured Workloads. Este URI debe ser el endpoint que coincida con la ubicación de la carga de trabajo de destino, como https://us-central1-assuredworkloads.googleapis.com para una carga de trabajo regionalizada en la región us-central1 y https://us-assuredworkloads.googleapis.com para una carga de trabajo multirregional en EE. UU.
  • ORGANIZATION_ID: el ID de la organización de la carpeta Assured Workloads. Por ejemplo, 919698201234.
  • LOCATION_ID: la ubicación de la carpeta de Assured Workloads, por ejemplo, us-central1 o us. Corresponde al valor data region de la carga de trabajo.
  • WORKLOAD_ID: ID de la carga de trabajo de Assured Workloads de la que se van a enumerar las actualizaciones disponibles. Por ejemplo, 00-701ea036-7152-4780-a867-9f5.
  • UPDATE_ID: ID de la actualización que se va a aplicar, seleccionada de la lista de actualizaciones disponibles devuelta por el método organizations.locations.workloads.updates.list. Por ejemplo, edb84871-833b-45ec-9c00-c9b5c19d2d87.

Cuerpo de la solicitud: 

{
  "name":"organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/workloads/[WORKLOAD_ID]/updates/[UPDATE_ID]",
  "action": "APPLY"
}

Por ejemplo: 

POST https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87:apply

{
  "name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
  "action": "APPLY"
}

Si la solicitud se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo: 

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "update_name": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "create_time": "2024-10-01T14:34:30.290896Z",
    "action": "APPLY"
  }
}

Para obtener el estado de una operación de actualización de larga duración, usa el ID de operación en el valor name de la respuesta JSON. Siguiendo el ejemplo anterior, el ID de operación es 647b1c77-b9a5-45d2-965e-70a1e867fe5b. A continuación, haz la siguiente solicitud y sustituye los valores de los marcadores de posición por los tuyos:

GET https://[ENDPOINT_URI]/v1/organizations/[ORGANIZATION_ID]/locations/[LOCATION_ID]/operations/[OPERATION_ID]

Por ejemplo: 

GET https://us-central1-assuredworkloads.googleapis.com/v1/organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b

Si la solicitud se realiza correctamente, recibirás una respuesta JSON similar a la del siguiente ejemplo: 

{
  "name": "organizations/919698298765/locations/us-central1/operations/647b1c77-b9a5-45d2-965e-70a1e867fe5b",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateOperationMetadata",
    "updateName": "organizations/919698298765/locations/us-central1/workloads/00-701ea036-7152-4781-a867-9f5/updates/edb84871-833b-45ec-9c00-c9b5c19d2d87",
    "createTime": "2024-10-01T13:33:09Z"
    "action": "APPLY"
  },
  "done": true
  "response": {
    "@type": "type.googleapis.com/google.cloud.assuredworkloads.v1.ApplyWorkloadUpdateResponse",
    "appliedUpdate": {
      "name": "organizations/531459884741/locations/us-central1/workloads/00-0b328e90-da70-431e-befc-a4a/updates/db556beb-ce66-4260-bd3b-28115f1ec300",
      "state": "APPLIED",
      "createTime": "2024-10-01T14:31:24.310323Z",
      "updateTime": "2024-10-01T14:34:30.855792Z",
      "details": {
        "orgPolicyUpdate": {
          "appliedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": true
            }
          },
          "suggestedPolicy": {
            "resource": "folders/196232301850",
            "constraint": "constraints/compute.disableInstanceDataAccessApis",
            "rule": {
              "enforce": false
            }
          }
        }
      }
    }
  }
}