Utilizzare i vincoli dei criteri dell'organizzazione in Apigee

Questa pagina descrive l'utilizzo dei vincoli dei criteri dell'organizzazione con Apigee.

Non tutte le funzionalità di Apigee utilizzano CMEK per la crittografia dei dati sensibili. Per garantire che i dati che richiedono la crittografia con CMEK non utilizzino inconsapevolmente funzionalità non protette da CMEK, queste funzionalità verranno disattivate per i progetti con limitazioni CMEK finché non saranno conformi. Verranno disattivati solo i nuovi utilizzi delle funzionalità (creazione di nuove risorse o attivazione di un componente aggiuntivo). Le funzionalità e le risorse già in uso rimarranno disponibili e modificabili, ma non protette.

La creazione di organizzazioni di valutazione è bloccata sia dall'API gcloud alpha apigee organizations sia dalla procedura guidata di provisioning di valutazione. Quando provi a visualizzare la procedura guidata di provisioning della valutazione, viene visualizzato il messaggio La valutazione di Apigee non è disponibile.

Per saperne di più sulle funzionalità disattivate per i progetti con vincoli CMEK, consulta Vincoli dei criteri dell'organizzazione.

Termini

In questo argomento vengono utilizzati i seguenti termini:

Termine Definizione
CMEK Chiave di crittografia gestita dal cliente. Per una descrizione dettagliata, consulta Chiavi di crittografia gestite dal cliente.
vincoli dei criteri dell'organizzazione Un vincolo è un particolare tipo di limitazione per un servizio Google Cloud o un elenco di servizi Google Cloud. Per quanto riguarda CMEK, esistono due vincoli pertinenti:
  • constraints/gcp.restrictNonCmekServices
  • constraints/gcp.restrictCmekCryptoKeyProjects
Applicazione Una garanzia che i sistemi di backend di Apigee rispettino il vincolo di un progetto (in questo caso i vincoli CMEK)
Pre-convalida Comportamenti dell'interfaccia utente che ti guidano nella selezione di configurazioni valide in Apigee in conformità con i criteri dell'organizzazione CMEK e non mostrano funzionalità non conformi
Risorse Risorse Apigee come organizzazioni e istanze

Come limitare i servizi non CMEK

Questa sezione descrive come limitare i servizi non CMEK.

  1. Soddisfare i prerequisiti.
  2. Seleziona il tuo progetto nella console Google Cloud.
  3. Crea un nuovo vincolo delle norme dell'organizzazione.
  4. Esegui il provisioning di Apigee.

Prerequisiti

Devi:

Apri progetto

  1. Nella console Google Cloud, vai alla pagina Dashboard.

    Vai alla Dashboard

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.

Crea un vincolo dei criteri dell'organizzazione

I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurati a livello di questa risorsa, ereditati dalla risorsa principale o impostati sul comportamento predefinito gestito da Google. In questo caso, creerai un vincolo che richiede CMEK e verrà applicato al progetto e a tutte le risorse che ereditano dal progetto.

Per assicurarti che le chiavi di crittografia gestite dal cliente vengano sempre utilizzate per criptare i dati in Apigee, crea il seguente vincolo per i criteri dell'organizzazione:

  1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
  3. Nella casella Filtro, inserisci:
    constraints/gcp.restrictNonCmekServices
  4. Fai clic su Altro, Modifica norme. Se l'opzione Modifica è disattivata, significa che non disponi delle autorizzazioni richieste e devi chiedere all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) per l'organizzazione. Per ulteriori informazioni, consulta la sezione Prerequisiti.
  5. Per Origine criterio, seleziona Sostituisci criterio della risorsa padre. Questa risorsa avrà un criterio univoco. Nel passaggio successivo, dovrai specificare come vengono gestite le regole del criterio principale.
  6. Per Applicazione dei criteri, seleziona una delle seguenti opzioni:
    • Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
    • Unisci con risorsa padre. Questa opzione aggiunge regole oltre a quelle impostate per la risorsa principale.

    Per una spiegazione dell'eredità dei criteri dell'organizzazione, consulta Informazioni sulla valutazione della gerarchia.

  7. Fai clic su Aggiungi una regola.
  8. Per Valori criterio, seleziona Personalizzato.
  9. In Tipo di criterio, seleziona Rifiuta.
  10. In Valori personalizzati, inserisci:
    apigee.googleapis.com
  11. Fai clic su Fine.
  12. Fai clic su Imposta criterio. Viene visualizzata la pagina Dettagli norme.

Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che le risorse Apigee create prima della configurazione dei criteri dell'organizzazione CMEK non saranno garantite come conformi; solo le nuove risorse create dopo l'applicazione del criterio rispetteranno i vincoli CMEK.

Vedi anche:

Provisioning di Apigee

Il provisioning di Apigee in cui sono presenti vincoli dei criteri dell'organizzazione è costituito dagli stessi passaggi del provisioning di Apigee in cui non sono presenti vincoli dei criteri dell'organizzazione. Tuttavia, l'interfaccia utente ti impedisce di effettuare selezioni non supportate.

Questa sezione descrive dove l'interfaccia utente ti guida nella scelta.

  1. Nella console Google Cloud, vai alla pagina Apigee.

    Vai ad Apigee

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
  3. Nella pagina Ti diamo il benvenuto in Apigee API Management, Configurazione utilizzando i valori predefiniti è disattivata poiché devi selezionare esplicitamente i CMEK. Fai clic su Personalizza la configurazione.
  4. Attiva le API: attiva le API richieste come descritto in Passaggio 1: abilita le API richieste.
  5. Configura la rete: configura la rete come descritto in Passaggio 2: configura la rete.
  6. Configura l'hosting e la crittografia:

    Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati è l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano i servizi non CMEK.

    1. Fai clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.
    2. Nella sezione Tipo di crittografia, l'opzione Chiave di crittografia gestita da Google è disattivata e l'opzione Chiave di crittografia gestita dal cliente è attivata e non può essere disattivata.
    3. Fai clic su Avanti.
    4. Nella sezione Piano di controllo, l'opzione Abilita residenza dei dati è attivata e non può essere disattivata.
    5. Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b. di Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati.
  7. Personalizza il routing degli accessi: personalizza il routing degli accessi come descritto in Passaggio 4: personalizza il routing degli accessi.

Come limitare i progetti di chiavi di crittografia CMEK

Questa sezione descrive come limitare i progetti di chiavi di crittografia CMEK.

Puoi limitare i progetti che possono fornire chiavi di crittografia tramite un altro vincolo del criterio dell'organizzazione: constraints/gcp.restrictCmekCryptoKeyProjects Con questo vincolo, inserisci nella lista consentita i progetti da cui possono essere utilizzate le chiavi di crittografia.

Questo vincolo viene applicato ovunque sia possibile selezionare una CMEK, ovvero al momento durante il provisioning di Apigee o la creazione di un'istanza Apigee.

Se il progetto corrente selezionato nella console Google Cloud non è nella lista consentita nel vincolo restrictCmekCryptoKeyProjects, non potrai selezionare alcuna chiave dalla casella di selezione della chiave di crittografia. Dovrai invece utilizzare una chiave di un progetto presente nella lista consentita.

Prerequisiti

Devi:

Apri progetto

  1. Nella console Google Cloud, vai alla pagina Dashboard.

    Vai alla Dashboard

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.

Crea un vincolo dei criteri dell'organizzazione

I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurati a livello di questa risorsa, ereditati dalla risorsa principale o impostati sul comportamento predefinito gestito da Google. In questo caso, creerai un vincolo che consente le chiavi solo dei progetti inclusi nella lista consentita. Questo vincolo verrà applicato al progetto e a tutte le risorse che ereditano dal progetto.

Per assicurarti che le chiavi di crittografia gestite dal cliente vengano utilizzate solo da progetti specifici, aggiungile a una lista consentita:

  1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
  3. Nella casella Filtro, inserisci:
    restrictCmekCryptoKeyProjects
  4. Fai clic su Altro, Modifica norme. Se l'opzione Modifica è disattivata, significa che non disponi delle autorizzazioni richieste e devi chiedere all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) per l'organizzazione. Per ulteriori informazioni, consulta la sezione Prerequisiti.
  5. Per Origine criterio, seleziona Sostituisci criterio della risorsa padre. Questa risorsa avrà un criterio univoco. Nel passaggio successivo, dovrai specificare come vengono gestite le regole del criterio principale.
  6. Per Applicazione dei criteri, seleziona una delle seguenti opzioni:
    • Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
    • Unisci con risorsa padre. Questa opzione aggiunge regole oltre a quelle impostate per la risorsa principale.

    Per una spiegazione dell'eredità dei criteri dell'organizzazione, consulta Informazioni sulla valutazione della gerarchia.

  7. Fai clic su Aggiungi una regola.
  8. Per Valori criterio, seleziona Personalizzato.
  9. Per Tipo di criterio, seleziona Consenti.
  10. In Valori personalizzati, inserisci:
    projects/PROJECT_ID

    Sostituisci PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio: my-kms-project.

  11. Fai clic su Fine.
  12. Fai clic su Imposta criterio. Viene visualizzata la pagina Dettagli norme.

Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che la conformità delle risorse Apigee create prima della configurazione degli criteri dell'organizzazione CMEK non è garantita; solo le nuove risorse create dopo l'applicazione del criterio rispetteranno i vincoli CMEK.

Vedi anche:

Provisioning di Apigee

Il provisioning di Apigee in cui sono presenti vincoli dei criteri dell'organizzazione consiste negli stessi passaggi del provisioning di Apigee in cui non sono presenti vincoli dei criteri dell'organizzazione. Tuttavia, l'interfaccia utente ti impedisce di effettuare selezioni non supportate.

Questa sezione descrive dove l'interfaccia utente ti guida nella scelta.

  1. Nella console Google Cloud, vai alla pagina Apigee.

    Vai ad Apigee

  2. Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
  3. Nella pagina Ti diamo il benvenuto in Apigee API Management, fai clic su Personalizza la configurazione.
  4. Attiva le API: attiva le API richieste come descritto in Passaggio 1: abilita le API richieste.
  5. Configura la rete: configura la rete come descritto in Passaggio 2: configura la rete.
  6. Configura l'hosting e la crittografia:

    Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati è l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano i servizi non CMEK.

    1. Fai clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.
    2. Nella sezione Tipo di crittografia, l'opzione Chiave di crittografia gestita da Google è disattivata e l'opzione Chiave di crittografia gestita dal cliente è attivata e non può essere disattivata.
    3. Fai clic su Avanti.
    4. Nella sezione Piano di controllo, l'opzione Abilita residenza dei dati è attivata e non può essere disattivata.
    5. Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b. di Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati.
  7. Personalizza il routing degli accessi: personalizza il routing degli accessi come descritto in Passaggio 4: personalizza il routing degli accessi.

Utilizzare una chiave di un progetto presente nella lista consentita

Per utilizzare una chiave di un progetto inserito nella lista consentita in Apigee, dovrai inserirla manualmente tramite il relativo ID risorsa. Qualsiasi chiave inserita manualmente verrà convalidata anche per verificare che il progetto sia valido in base ai progetti inclusi nella lista consentita del vincolo.

Come ottenere un ID risorsa Google Cloud KMS

Consulta Ottenere un ID risorsa Cloud KMS

Risoluzione dei problemi

La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i vincoli CMEK e delle norme dell'organizzazione.

Messaggio di errore Causa Procedura
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. Hai tentato di eseguire il provisioning di un'organizzazione di prova in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. CMEK non è supportato per le organizzazioni di prova/valutazione. Per poter eseguire il provisioning di un'organizzazione di prova, dovrai aggiornare il vincolo dei criteri dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi non consentiti.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. Hai tentato di eseguire il provisioning di un'organizzazione globale in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. CMEK non è supportato per le organizzazioni globali. Dovrai aggiornare il vincolo dei criteri dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi vietati o utilizzare una località diversa per creare le organizzazioni.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo del criterio dell'organizzazione per il progetto senza specificare una CryptoKey KMS. Hai impostato un codice nei criteri dell'organizzazione che richiede di fornire una CMEK per criptare i tuoi dati. Dovrai fornire la chiave CMEK per poter creare un'organizzazione o istanze. Se non vuoi che venga applicata la verifica CMEK, puoi aggiornare la limitazione delle norme dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi vietati.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint. Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo della policy dell'organizzazione per il progetto e hai specificato una CryptoKey KMS non presente nella lista consentita. Hai impostato constraints/gcp.restrictCmekCryptoKeyProjects nei criteri dell'organizzazione che richiedono di fornire una chiave CMEK dai progetti consentiti elencati da te. Per poter creare un'organizzazione o istanze, dovrai fornire la chiave CMEK di un progetto consentito. In alternativa, puoi aggiornare il vincolo dei criteri dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects per consentire le chiavi dal progetto Google Cloud specifico che ti interessa.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. Hai tentato di creare un portale in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. CMEK non è supportato per i portali integrati. Per poter creare un nuovo portale, dovrai aggiornare il vincolo delle norme dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi negati.