Esta página descreve a utilização de restrições de políticas organizacionais com o Apigee.
Nem todas as funcionalidades no Apigee usam CMEK para a encriptação de dados confidenciais. Para garantir que os dados que requerem encriptação com CMEK não usam inadvertidamente funcionalidades que não estão protegidas por CMEK, essas funcionalidades são desativadas para projetos restritos por CMEK até estarem em conformidade. Apenas as novas utilizações das funcionalidades vão ser desativadas (criar novos recursos ou ativar um suplemento). As funcionalidades e os recursos que já estão em utilização vão permanecer disponíveis e editáveis, mas não protegidos.
A criação de organizações de avaliação está bloqueada pela API gcloud alpha apigee organizations e pelo assistente de aprovisionamento de avaliação. Ao tentar ver o assistente de aprovisionamento de avaliação, é apresentada a mensagem: A avaliação do Apigee não está disponível.
Para mais informações sobre as funcionalidades desativadas para projetos restritos pela CMEK, consulte as restrições da política da organização.
Termos
Os seguintes termos são usados neste tópico:
| Vigência | Definição |
|---|---|
| CMEK | Chave de encriptação gerida pelo cliente. Consulte o artigo Chaves de encriptação geridas pelo cliente para uma descrição detalhada. |
| restrições de políticas da organização | Uma restrição é um tipo específico de restrição contra um serviço ou uma lista de serviços. Google Cloud Google CloudNo que diz respeito às CMEK, existem
duas restrições relevantes:
|
| Aplicação | Uma garantia de que os sistemas de back-end do Apigee vão cumprir uma restrição de um projeto (restrições da CMEK neste caso) |
| Pré-validação | Comportamentos da IU que lhe dão orientações na seleção de configurações válidas no Apigee de acordo com as políticas organizacionais da CMEK e não expõem funcionalidades que não estão em conformidade |
| Recursos | Recursos do Apigee, como organizações e instâncias |
Como restringir serviços não CMEK
Esta secção descreve como restringir serviços não CMEK.
- Cumprir os pré-requisitos.
- Selecione o seu projeto na Google Cloud consola.
- Crie uma nova restrição de política da organização.
- Aprovisione o Apigee.
Pré-requisitos
Tem de:
-
Ter a
função de administrador da política da organização.
Para receber as autorizações de que precisa para gerir políticas de organização,
peça ao seu administrador para lhe conceder a função de IAM de
administrador de políticas de organização
(
roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso. - Ter os pré-requisitos descritos na Introdução ao aprovisionamento.
- Usar uma organização paga (subscrição ou pagamento mediante utilização).
- Use a residência de dados.
Abrir projeto
Na Google Cloud consola, aceda à página Painel de controlo.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
Crie uma restrição de política de organização
As políticas de organização são definidas pelos valores definidos para cada restrição. São configuradas ao nível deste recurso, herdadas do recurso principal ou definidas como o comportamento predefinido gerido pela Google. Neste caso, vai criar uma restrição que requer CMEK e que vai ser aplicada ao projeto e a todos os recursos que herdam do projeto.
Para garantir que as chaves de encriptação geridas pelo cliente são sempre usadas quando encripta os seus dados no Apigee, crie a seguinte restrição da política da organização:
Na Google Cloud consola, aceda à página Políticas da organização.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
- Na caixa Filtro, introduza:
constraints/gcp.restrictNonCmekServices
- Clique em Mais,
Editar política. Se a opção Editar estiver desativada, não tem as autorizações necessárias e tem de pedir ao administrador que lhe conceda a função do IAM de
Administrador da política da organização
(
roles/orgpolicy.policyAdmin) na organização. Consulte os Pré-requisitos para mais informações. - Em Origem da política, selecione Substituir política do elemento principal. Este recurso vai ter uma política única. No passo seguinte, vai especificar como as regras da política principal são processadas.
- Para Aplicação de políticas, selecione uma das seguintes opções:
- Substituir. Esta opção ignora a política do elemento principal e usa estas regras.
- Unir com o grupo principal. Esta opção adiciona regras além das que o recurso principal definiu.
Consulte o artigo Compreender a avaliação da hierarquia para uma explicação da herança de políticas da organização.
- Clique em Adicionar regra.
- Para Valores da política, selecione Personalizado.
- Para Tipo de política, selecione Recusar.
- Em Valores personalizados, introduza:
apigee.googleapis.com
- Clique em Concluído.
- Clique em Definir política. É apresentada a página Detalhes da política.
Depois de configurar a política e selecionar um projeto que herda/usa a política, tem tudo pronto para aprovisionar o Apigee. Tenha em atenção que não é garantido que os recursos do Apigee criados antes da configuração das políticas da organização CMEK estejam em conformidade. Apenas os novos recursos criados após a implementação da política vão cumprir as restrições da CMEK.
Veja também:
Aprovisione o Apigee
O aprovisionamento do Apigee onde tem restrições da política da organização consiste nos mesmos passos que o aprovisionamento do Apigee onde não tem restrições da política da organização. No entanto, a IU impede que faça seleções não suportadas.
Esta secção descreve onde a IU lhe dá orientações sobre como fazer seleções.
Na Google Cloud consola, aceda à página Apigee.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
- Na página Damos-lhe as boas-vindas à gestão de APIs da Apigee, a opção Configurar com predefinições está desativada, uma vez que tem de selecionar explicitamente CMEKs. Clique em Personalizar configuração.
- Ative as APIs: ative as APIs necessárias, conforme descrito no Passo 1: ative as APIs necessárias.
- Configure a rede: configure a rede conforme descrito no Passo 2: configure a rede.
Configure o alojamento e a encriptação:
Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados é o único percurso do utilizador relevante para restrições de políticas organizacionais que restringem serviços não CMEK.
- Clique em Editar para abrir o painel Chaves de alojamento e encriptação.
- Na secção Tipo de encriptação, a chave de encriptação gerida pela Google está desativada e a chave de encriptação gerida pelo cliente está ativada e não pode ser desativada.
- Clicar em Seguinte.
- Na secção Plano de controlo, a opção Ativar residência de dados está ativada e não pode ser desativada.
- Continue a configurar o alojamento e a encriptação, conforme descrito no passo 3.b. do Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados.
- Personalize o encaminhamento de acesso: Personalize o encaminhamento de acesso conforme descrito no Passo 4: personalize o encaminhamento de acesso.
Como restringir projetos de chaves criptográficas CMEK
Esta secção descreve como restringir projetos de chaves criptográficas CMEK.
Pode restringir os projetos que podem fornecer chaves de encriptação através de outra restrição da política da organização: constraints/gcp.restrictCmekCryptoKeyProjects
com esta restrição, permite projetos na lista branca a partir dos quais as chaves de encriptação
podem ser usadas.
Em qualquer lugar onde possa selecionar uma CMEK, que é atualmente durante o aprovisionamento do Apigee ou a criação de uma instância do Apigee, esta restrição é aplicada.
Se o projeto atual selecionado na Google Cloud consola não estiver na lista de autorizações
na restrição restrictCmekCryptoKeyProjects, não pode selecionar nenhuma chave na caixa de seleção de chaves de encriptação. Em alternativa,
tem de usar uma chave de um projeto que esteja na lista de autorizações.
Pré-requisitos
Tem de:
-
Ter a
função de administrador da política da organização.
Para receber as autorizações de que precisa para gerir políticas de organização,
peça ao seu administrador para lhe conceder a função de IAM de
administrador de políticas de organização
(
roles/orgpolicy.policyAdmin) na organização. Para mais informações sobre a concessão de funções, consulte o artigo Gerir acesso. - Ter os pré-requisitos descritos na Introdução ao aprovisionamento.
- Use uma organização paga (subscrição ou pagamento mediante utilização)
- Use a residência dos dados
- Aprovisionamento através da consola Google Cloud (subscrição ou pagamento conforme o uso).
- Saber que projeto contém as chaves que quer usar.
Abrir projeto
Na Google Cloud consola, aceda à página Painel de controlo.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
Crie uma restrição de política de organização
As políticas de organização são definidas pelos valores definidos para cada restrição. São configuradas ao nível deste recurso, herdadas do recurso principal ou definidas como o comportamento predefinido gerido pela Google. Neste caso, vai criar uma restrição que permite chaves apenas de projetos na lista de autorizações. Esta restrição é aplicada ao projeto e a todos os recursos que herdam do projeto.
Para garantir que as chaves de encriptação geridas pelo cliente são usadas apenas a partir de projetos específicos, adicione-as a uma lista de autorizações:
Na Google Cloud consola, aceda à página Políticas da organização.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
- Na caixa Filtro, introduza:
restrictCmekCryptoKeyProjects
- Clique em Mais,
Editar política. Se a opção Editar estiver desativada, não tem as autorizações necessárias e tem de pedir ao administrador que lhe conceda a função do IAM de
administrador da política da organização
(
roles/orgpolicy.policyAdmin) na organização. Consulte os Pré-requisitos para mais informações. - Em Origem da política, selecione Substituir política do elemento principal. Este recurso vai ter uma política única. No passo seguinte, vai especificar como as regras da política principal são processadas.
- Para Aplicação de políticas, selecione uma das seguintes opções:
- Substituir. Esta opção ignora a política do elemento principal e usa estas regras.
- Unir com o grupo principal. Esta opção adiciona regras além das que o recurso principal definiu.
Consulte o artigo Compreender a avaliação da hierarquia para uma explicação da herança de políticas da organização.
- Clique em Adicionar regra.
- Para Valores da política, selecione Personalizado.
- Para Tipo de política, selecione Permitir.
- Em Valores personalizados, introduza:
projects/PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto onde se encontram as chaves do Cloud KMS que quer usar. Por exemplo,
my-kms-project. - Clique em Concluído.
- Clique em Definir política. É apresentada a página Detalhes da política.
Depois de configurar a política e selecionar um projeto que herda/usa a política, tem tudo pronto para aprovisionar o Apigee. Tenha em atenção que não é garantido que os recursos do Apigee criados antes da configuração das políticas da organização CMEK estejam em conformidade. Apenas os novos recursos criados após a implementação da política vão cumprir as restrições da CMEK.
Veja também:
Aprovisione o Apigee
O aprovisionamento do Apigee onde tem restrições da política da organização consiste nos mesmos passos que o aprovisionamento do Apigee onde não tem restrições da política da organização. No entanto, a IU impede que faça seleções não suportadas.
Esta secção descreve onde a IU lhe dá orientações sobre como fazer seleções.
Na Google Cloud consola, aceda à página Apigee.
- Selecione o seu projeto na Google Cloud lista pendente da consola se ainda não estiver selecionado.
- Na página Bem-vindo à gestão de APIs da Apigee, Clique em Personalizar configuração.
- Ative as APIs: ative as APIs necessárias, conforme descrito no Passo 1: ative as APIs necessárias.
- Configure a rede: configure a rede conforme descrito no Passo 2: configure a rede.
Configure o alojamento e a encriptação:
Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados é o único percurso do utilizador relevante para restrições de políticas organizacionais que restringem serviços não CMEK.
- Clique em Editar para abrir o painel Chaves de alojamento e encriptação.
- Na secção Tipo de encriptação, a chave de encriptação gerida pela Google está desativada e a chave de encriptação gerida pelo cliente está ativada e não pode ser desativada.
- Clicar em Seguinte.
- Na secção Plano de controlo, a opção Ativar residência de dados está ativada e não pode ser desativada.
- Continue a configurar o alojamento e a encriptação, conforme descrito no passo 3.b. do Percurso do utilizador D: encriptação gerida pelo cliente, com residência de dados.
- Personalize o encaminhamento de acesso: Personalize o encaminhamento de acesso conforme descrito no Passo 4: personalize o encaminhamento de acesso.
Use uma chave de um projeto na lista de autorizações
Para usar uma chave de um projeto que esteja na lista de autorizações do Apigee, tem de introduzir uma chave manualmente pelo respetivo ID do recurso. Qualquer chave que introduzir manualmente também é validada para garantir que o respetivo projeto é válido com base nos projetos na lista de autorizações da restrição.
Como obter um Google Cloud ID de recurso do KMS
Consulte: Obter um ID de recurso do Cloud KMS
Resolução de problemas
A tabela seguinte descreve algumas condições de erro comuns que podem surgir com as restrições da política da organização e da CMEK.
| Mensagem de erro | Causa | Passos a seguir |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Tentou aprovisionar uma organização de avaliação onde existe uma restrição da política da organização para o projeto. |
A CMEK não é suportada para organizações de avaliação/teste. Tem de atualizar a restrição da política da organização constraints/gcp.restrictNonCmekServices para remover o Apigee da lista de serviços recusados para poder aprovisionar uma organização de avaliação. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Tentou aprovisionar uma organização global onde existe uma restrição da política da organização para o projeto. |
A CMEK não é suportada para organizações globais. Tem de atualizar a restrição da política da organização constraints/gcp.restrictNonCmekServices para remover o Apigee da lista de serviços recusados ou usar uma localização diferente para criar as respetivas organizações.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Tentou aprovisionar uma organização onde existe uma restrição de política da organização para o projeto sem especificar uma CryptoKey do KMS. |
Definiu código nas políticas da organização que requer que faculte uma CMEK para encriptar os seus dados. Tem de fornecer a chave CMEK para poder criar uma organização ou instâncias. Se não quiser a aplicação da CMEK, pode atualizar a restrição da política da organização constraints/gcp.restrictNonCmekServices para remover o Apigee da lista de serviços recusados. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Tentou aprovisionar uma organização onde existe uma restrição de política da organização para o projeto e especificou uma CryptoKey do KMS que não está na lista de autorizações. |
Definiu constraints/gcp.restrictCmekCryptoKeyProjects
nas políticas da organização, o que exige que faculte uma chave CMEK dos projetos permitidos
indicados por si. Tem de fornecer a chave CMEK de um projeto permitido para poder criar uma organização ou instâncias. Em alternativa,
pode atualizar a restrição da política da organização
constraints/gcp.restrictCmekCryptoKeyProjectspara permitir chaves
do projeto Google Cloud específico que quer.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Tentou criar um portal onde existe uma restrição da política da organização para o projeto. |
A CMEK não é suportada para portais integrados. Tem de atualizar a
restrição da política da organização
constraints/gcp.restrictNonCmekServices para remover
o Apigee da lista de serviços recusados para poder criar um novo
portal.
|