Einschränkungen von Organisationsrichtlinien in Apigee verwenden

Auf dieser Seite wird beschrieben, wie Sie Einschränkungen von Organisationsrichtlinien mit Apigee verwenden.

Nicht jede Funktion in Apigee verwendet CMEK für die Verschlüsselung vertraulicher Daten. Damit für Daten, die mit CMEK verschlüsselt werden müssen, nicht unbeabsichtigt Funktionen verwendet werden, die nicht CMEK-geschützt sind, werden diese Funktionen für CMEK-eingeschränkte Projekte deaktiviert, bis sie konform sind. Es werden nur neue Verwendungen der Funktionen deaktiviert, z. B. das Erstellen neuer Ressourcen oder das Aktivieren eines Add-ons. Bereits verwendete Funktionen und Ressourcen sind weiterhin verfügbar und bearbeitbar, aber nicht geschützt.

Das Erstellen von Evaluierungsorganisationen wird sowohl von der gcloud alpha apigee organizations API als auch vom Evaluierungs-Bereitstellungsassistenten blockiert. Wenn Sie versuchen, den Bereitstellungsassistenten für die Bewertung aufzurufen, wird die Meldung Apigee-Bewertung ist nicht verfügbar angezeigt.

Weitere Informationen zu den Funktionen, die für Projekte mit CMEK-Einschränkungen deaktiviert sind, finden Sie unter Einschränkungen für Organisationsrichtlinien.

Nutzungsbedingungen

Die folgenden Begriffe werden in diesem Dokument verwendet:

Begriff Definition
CMEK Vom Kunden verwalteter Verschlüsselungsschlüssel. Eine ausführliche Beschreibung finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel.
Einschränkungen für Organisationsrichtlinien Eine Einschränkung wird spezifisch für einen Google Cloud-Dienst oder eine Liste von Google Cloud-Diensten festgelegt. Für CMEK gelten zwei relevante Einschränkungen:
  • constraints/gcp.restrictNonCmekServices
  • constraints/gcp.restrictCmekCryptoKeyProjects
Erzwingung Eine Garantie dafür, dass die Back-End-Systeme von Apigee die Einschränkung eines Projekts einhalten (in diesem Fall CMEK-Einschränkungen)
Vorab-Validierung UI-Verhalten, das Sie bei der Auswahl gültiger Konfigurationen in Apigee gemäß den CMEK-Organisationsrichtlinien unterstützt und keine nicht konformen Funktionen anzeigt
Ressourcen Apigee-Ressourcen wie Organisationen und Instanzen

Nicht CMEK-fähige Dienste einschränken

In diesem Abschnitt wird beschrieben, wie Sie Dienste einschränken, die nicht CMEK-fähig sind.

  1. Sie erfüllen die Voraussetzungen.
  2. Wählen Sie in der Google Cloud Console Ihr Projekt aus.
  3. Erstellen Sie eine neue Einschränkung für die Organisationsrichtlinie.
  4. Apigee bereitstellen.

Vorbereitung

Aufgabe:

Projekt öffnen

  1. Öffnen Sie in der Google Cloud Console die Seite Dashboard.

    Zu Google Dashboard

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.

Einschränkung für Organisationsrichtlinie erstellen

Organisationsrichtlinien werden anhand der Werte definiert, die für jede Einschränkung festgelegt sind. Sie werden entweder auf der Ebene dieser Ressource angepasst, von der übergeordneten Ressource übernommen oder auf das von Google verwaltete Standardverhalten festgelegt. In diesem Fall erstellen Sie eine Einschränkung, die CMEK erfordert und auf das Projekt und alle Ressourcen angewendet wird, die vom Projekt übernommen werden.

Damit beim Verschlüsseln Ihrer Daten in Apigee immer vom Kunden verwaltete Verschlüsselungsschlüssel verwendet werden, erstellen Sie die folgende Einschränkung für die Organisationsrichtlinie:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.
  3. Geben Sie im Filterfeld Folgendes ein: 
    constraints/gcp.restrictNonCmekServices
  4. Klicken Sie auf Mehr und dann auf Richtlinie bearbeiten. Wenn Bearbeiten deaktiviert ist, haben Sie nicht die erforderlichen Berechtigungen und müssen Ihren Administrator bitten, Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren. Weitere Informationen finden Sie unter Voraussetzungen.
  5. Wählen Sie unter Richtlinienquelle die Option Richtlinie der übergeordneten Ressource überschreiben aus. Für diese Ressource gilt eine eindeutige Richtlinie. Im nächsten Schritt legen Sie fest, wie die übergeordneten Richtlinienregeln behandelt werden.
  6. Wählen Sie unter Richtlinienerzwingung eine der folgenden Optionen aus:
    • Ersetzen. Bei dieser Option werden die übergeordneten Richtlinien ignoriert und diese Regeln verwendet.
    • Mit übergeordneter Ressource zusammenführen. Mit dieser Option werden zusätzlich zu den von der übergeordneten Ressource festgelegten Regeln weitere hinzugefügt.

    Eine Erläuterung zur Übernahme von Organisationsrichtlinien finden Sie unter Informationen zu Evaluierungen der Hierarchie.

  7. Klicken Sie auf Regel hinzufügen.
  8. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.
  9. Wählen Sie für Richtlinientyp die Option Ablehnen aus.
  10. Geben Sie unter Benutzerdefinierte Werte Folgendes ein: 
    apigee.googleapis.com
  11. Klicken Sie auf Fertig.
  12. Klicken Sie auf Richtlinie festlegen. Die Seite Richtliniendetails wird angezeigt.

Nachdem Sie die Richtlinie konfiguriert und ein Projekt ausgewählt haben, das die Richtlinie erbt oder verwendet, können Sie Apigee bereitstellen. Apigee-Ressourcen, die vor der Konfiguration von CMEK-Organisationsrichtlinien erstellt wurden, entsprechen nicht unbedingt den Anforderungen. Nur neue Ressourcen, die nach Inkrafttreten der Richtlinie erstellt werden, entsprechen den CMEK-Einschränkungen.

Siehe auch:

Apigee bereitstellen

Die Bereitstellung von Apigee, für die Einschränkungen durch Organisationsrichtlinien gelten, umfasst dieselben Schritte wie die Bereitstellung von Apigee, für die keine Einschränkungen durch Organisationsrichtlinien gelten. Die Benutzeroberfläche verhindert jedoch, dass Sie Auswahlen treffen, die nicht unterstützt werden.

In diesem Abschnitt wird beschrieben, wo Sie in der Benutzeroberfläche bei der Auswahl unterstützt werden.

  1. Rufen Sie in der Google Cloud Console die Seite Apigee auf.

    Zu „Apigee“

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.
  3. Auf der Seite Willkommen bei der Apigee API-Verwaltung ist Mit Standardeinstellungen einrichten deaktiviert, da Sie CMEKs explizit auswählen müssen. Klicken Sie auf Einrichtung anpassen.
  4. APIs aktivieren: Aktivieren Sie die erforderlichen APIs wie unter Schritt 1: Erforderliche APIs aktivieren beschrieben.
  5. Netzwerk einrichten: Richten Sie das Netzwerk wie in Schritt 2: Netzwerk einrichten beschrieben ein.

  6. Hosting und Verschlüsselung konfigurieren:

    Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort ist der einzige relevante Nutzerpfad für Einschränkungen durch Organisationsrichtlinien, die Dienste ohne CMEK einschränken.

    1. Klicken Sie auf Bearbeiten, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.
    2. Im Abschnitt Verschlüsselungstyp ist Von Google verwalteter Verschlüsselungsschlüssel deaktiviert und Vom Kunden verwalteter Verschlüsselungsschlüssel ist aktiviert und kann nicht deaktiviert werden.
    3. Klicken Sie auf Weiter.
    4. Im Abschnitt Steuerungsebene ist Datenstandort aktivieren aktiviert und kann nicht deaktiviert werden.
    5. Fahren Sie mit der Konfiguration von Hosting und Verschlüsselung fort, wie in Schritt 3.b. von Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort beschrieben.
  7. Zugriffsrouting anpassen: Anleitung unter Schritt 4: Zugriffsrouting anpassen

CMEK-Crypto-Key-Projekte einschränken

In diesem Abschnitt wird beschrieben, wie Sie Projekte mit CMEK-Kryptoschlüsseln einschränken.

Sie können mit einer weiteren Einschränkung für Organisationsrichtlinien einschränken, welche Projekte Verschlüsselungsschlüssel bereitstellen können: constraints/gcp.restrictCmekCryptoKeyProjects Mit dieser Einschränkung können Sie eine Zulassungsliste mit Projekten erstellen, von denen Verschlüsselungsschlüssel verwendet werden können.

Diese Einschränkung gilt überall dort, wo Sie einen CMEK auswählen können, also derzeit beim Bereitstellen von Apigee oder beim Erstellen einer Apigee-Instanz.

Wenn das aktuelle Projekt, das in der Google Cloud Console ausgewählt ist, nicht in der Zulassungsliste der restrictCmekCryptoKeyProjects-Einschränkung steht, können Sie im Auswahlfeld für Verschlüsselungsschlüssel keine Schlüssel auswählen. Stattdessen müssen Sie einen Schlüssel aus einem Projekt verwenden, das auf der Zulassungsliste steht.

Vorbereitung

Aufgabe:

Projekt öffnen

  1. Öffnen Sie in der Google Cloud Console die Seite Dashboard.

    Zu Google Dashboard

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.

Einschränkung für Organisationsrichtlinie erstellen

Organisationsrichtlinien werden anhand der Werte definiert, die für jede Einschränkung festgelegt sind. Sie werden entweder auf der Ebene dieser Ressource konfiguriert, von der übergeordneten Ressource übernommen oder auf das von Google verwaltete Standardverhalten festgelegt. In diesem Fall erstellen Sie eine Einschränkung, die nur Schlüssel aus Projekten auf der Zulassungsliste zulässt. Diese Einschränkung gilt für das Projekt und alle Ressourcen, die vom Projekt übernommen werden.

Damit vom Kunden verwaltete Verschlüsselungsschlüssel nur von bestimmten Projekten verwendet werden, fügen Sie sie einer Zulassungsliste hinzu:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.
  3. Geben Sie im Filterfeld Folgendes ein: 
    restrictCmekCryptoKeyProjects
  4. Klicken Sie auf Mehr und dann auf Richtlinie bearbeiten. Wenn Bearbeiten deaktiviert ist, haben Sie nicht die erforderlichen Berechtigungen. Wenden Sie sich an Ihren Administrator, damit er Ihnen die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin) für die Organisation zuweist. Weitere Informationen finden Sie unter Voraussetzungen.
  5. Wählen Sie unter Richtlinienquelle die Option Richtlinie der übergeordneten Ressource überschreiben aus. Für diese Ressource gilt eine eindeutige Richtlinie. Im nächsten Schritt legen Sie fest, wie die übergeordneten Richtlinienregeln behandelt werden.
  6. Wählen Sie unter Richtlinienerzwingung eine der folgenden Optionen aus:
    • Ersetzen. Bei dieser Option werden die übergeordneten Richtlinien ignoriert und diese Regeln verwendet.
    • Mit übergeordneter Ressource zusammenführen. Mit dieser Option werden zusätzlich zu den von der übergeordneten Ressource festgelegten Regeln weitere hinzugefügt.

    Eine Erläuterung zur Übernahme von Organisationsrichtlinien finden Sie unter Informationen zu Evaluierungen der Hierarchie.

  7. Klicken Sie auf Regel hinzufügen.
  8. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.
  9. Wählen Sie für Richtlinientyp Zulassen aus.
  10. Geben Sie unter Benutzerdefinierte Werte Folgendes ein: 
    projects/PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID, unter der sich die zu verwendenden Cloud KMS-Schlüssel befinden. Beispiel: my-kms-project.

  11. Klicken Sie auf Fertig.
  12. Klicken Sie auf Richtlinie festlegen. Die Seite Richtliniendetails wird angezeigt.

Nachdem Sie die Richtlinie konfiguriert und ein Projekt ausgewählt haben, das die Richtlinie erbt oder verwendet, können Sie Apigee bereitstellen. Apigee-Ressourcen, die vor der Konfiguration von CMEK-Organisationsrichtlinien erstellt wurden, entsprechen nicht unbedingt den Richtlinien. Nur neue Ressourcen, die nach Inkrafttreten der Richtlinie erstellt werden, entsprechen den CMEK-Einschränkungen.

Siehe auch:

Apigee bereitstellen

Die Bereitstellung von Apigee, für die Einschränkungen durch Organisationsrichtlinien gelten, umfasst dieselben Schritte wie die Bereitstellung von Apigee, für die keine Einschränkungen durch Organisationsrichtlinien gelten. Die Benutzeroberfläche verhindert jedoch, dass Sie Auswahlen treffen, die nicht unterstützt werden.

In diesem Abschnitt wird beschrieben, wo Sie in der Benutzeroberfläche bei der Auswahl unterstützt werden.

  1. Rufen Sie in der Google Cloud Console die Seite Apigee auf.

    Zu „Apigee“

  2. Wählen Sie in der Drop-down-Liste der Google Cloud Console Ihr Projekt aus, falls es noch nicht ausgewählt ist.
  3. Klicken Sie auf der Seite Willkommen bei der Apigee API-Verwaltung auf Einrichtung anpassen.
  4. APIs aktivieren: Aktivieren Sie die erforderlichen APIs wie unter Schritt 1: Erforderliche APIs aktivieren beschrieben.
  5. Netzwerk einrichten: Richten Sie das Netzwerk wie in Schritt 2: Netzwerk einrichten beschrieben ein.

  6. Hosting und Verschlüsselung konfigurieren:

    Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort ist der einzige relevante Nutzerpfad für Einschränkungen durch Organisationsrichtlinien, die Dienste ohne CMEK einschränken.

    1. Klicken Sie auf Bearbeiten, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.
    2. Im Abschnitt Verschlüsselungstyp ist Von Google verwalteter Verschlüsselungsschlüssel deaktiviert und Vom Kunden verwalteter Verschlüsselungsschlüssel ist aktiviert und kann nicht deaktiviert werden.
    3. Klicken Sie auf Weiter.
    4. Im Abschnitt Steuerungsebene ist Datenstandort aktivieren aktiviert und kann nicht deaktiviert werden.
    5. Fahren Sie mit der Konfiguration von Hosting und Verschlüsselung fort, wie in Schritt 3.b. von Nutzerpfad D: Vom Kunden verwaltete Verschlüsselung, mit Datenstandort beschrieben.
  7. Zugriffsrouting anpassen: Anleitung unter Schritt 4: Zugriffsrouting anpassen

Schlüssel aus einem Projekt auf der Zulassungsliste verwenden

Wenn Sie einen Schlüssel aus einem Projekt verwenden möchten, das in Apigee auf der Zulassungsliste steht, müssen Sie ihn manuell anhand seiner Ressourcen-ID eingeben. Alle manuell eingegebenen Schlüssel werden ebenfalls überprüft, um sicherzustellen, dass das zugehörige Projekt auf der Zulassungsliste der Einschränkung steht.

Google Cloud KMS-Ressourcen-ID abrufen

Siehe: Cloud KMS-Ressourcen-ID abrufen

Fehlerbehebung

In der folgenden Tabelle werden einige gängige Fehlerbedingungen beschrieben, die bei CMEK- und Organisationsrichtlinienbeschränkungen auftreten können.

Fehlermeldung Ursache Erforderliche Schritte
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. Sie haben versucht, eine Testorganisation bereitzustellen, für die eine Einschränkung der Organisationsrichtlinie für das Projekt gilt. CMEK wird für Organisationen mit Test- oder Evaluationszugriff nicht unterstützt. Sie müssen die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, damit Sie eine Testorganisation bereitstellen können.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. Sie haben versucht, eine globale Organisation bereitzustellen, für die eine Einschränkung der Organisationsrichtlinie für das Projekt gilt. CMEK wird für globale Organisationen nicht unterstützt. Sie müssen die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, oder einen anderen Standort verwenden, um Organisationen zu erstellen.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. Sie haben versucht, eine Organisation zu bereitzustellen, für die eine Organisationsrichtlinien-Einschränkung für das Projekt gilt, ohne einen KMS-CryptoKey anzugeben. Sie haben in den Organisationsrichtlinien Code festgelegt, der erfordert, dass Sie einen CMEK zum Verschlüsseln Ihrer Daten angeben. Sie müssen den CMEK-Schlüssel angeben, um eine Organisation oder Instanzen erstellen zu können. Wenn Sie die CMEK-Erzwigung nicht verwenden möchten, können Sie die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint. Sie haben versucht, eine Organisation zu bereitzustellen, für die eine Organisationsrichtlinieneinschränkung für das Projekt gilt, und einen KMS-CryptoKey angegeben, der nicht auf der Zulassungsliste steht. Sie haben constraints/gcp.restrictCmekCryptoKeyProjects in den Organisationsrichtlinien festgelegt, die vorschreiben, dass Sie einen CMEK-Schlüssel aus den von Ihnen aufgeführten zulässigen Projekten angeben müssen. Sie müssen den CMEK-Schlüssel aus einem zulässigen Projekt angeben, um eine Organisation oder Instanzen erstellen zu können. Alternativ können Sie die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictCmekCryptoKeyProjects aktualisieren, um Schlüssel aus dem gewünschten Google Cloud-Projekt zuzulassen.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. Sie haben versucht, ein Portal zu erstellen, für das eine Organisationsrichtlinienbeschränkung für das Projekt gilt. CMEK wird für integrierte Portale nicht unterstützt. Sie müssen die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen und ein neues Portal erstellen zu können.