In questa pagina viene descritto l'utilizzo vincoli dei criteri dell'organizzazione con Apigee.
Non tutte le funzionalità di Apigee utilizzano CMEK per crittografia dei e i dati sensibili. Per garantire che i dati che richiedono la crittografia con CMEK non utilizzino inconsapevolmente funzionalità non protette da CMEK, queste funzionalità verranno disattivate per i progetti con limitazioni CMEK finché non saranno conformi. Verranno disattivati solo i nuovi utilizzi delle funzionalità (creazione di nuove risorse o abilitazione di un componente aggiuntivo). Le funzionalità e le risorse già in uso rimarranno disponibili e modificabili, ma non protette.
La creazione delle organizzazioni di valutazione è bloccata l'API gcloud alpha apigeeues e il della valutazione guidata del provisioning. Quando provi a visualizzare la procedura guidata di valutazione del provisioning, visualizzerai il messaggio: La valutazione Apigee non è disponibile.
Per saperne di più sulle funzionalità disattivate per i progetti con vincoli CMEK, consulta Vincoli dei criteri dell'organizzazione.
Termini
In questo argomento vengono utilizzati i seguenti termini:
| Termine | Definizione |
|---|---|
| CMEK | Chiave di crittografia gestita dal cliente. Per una descrizione dettagliata, consulta Chiavi di crittografia gestite dal cliente. |
| vincoli dei criteri dell'organizzazione | Un vincolo è un particolare tipo di
limitazione per un servizio Google Cloud o un elenco di servizi Google Cloud. Per quanto riguarda CMEK, ci sono
due vincoli pertinenti:
|
| Applicazione | Una garanzia che i sistemi di backend di Apigee aderiranno a un vincolo di progetto (in questo caso i vincoli CMEK) |
| Pre-convalida | Comportamenti dell'interfaccia utente che ti guidano nella selezione di configurazioni valide in Apigee in conformità con i criteri dell'organizzazione CMEK e non mettere in evidenza le funzionalità non conformi |
| Risorse | Risorse Apigee come organizzazioni e istanze |
Come limitare i servizi non CMEK
Questa sezione descrive come limitare i servizi non CMEK.
- Soddisfare i prerequisiti.
- Seleziona il tuo progetto nella console Google Cloud.
- Crea un nuovo vincolo del criterio dell'organizzazione.
- Esegui il provisioning di Apigee.
Prerequisiti
Devi:
-
Avere
Ruolo Amministratore criteri dell'organizzazione.
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore dei criteri dell'organizzazione
(
roles/orgpolicy.policyAdmin) nell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso. - Avere i prerequisiti descritti in Introduzione al provisioning.
- Utilizza un'organizzazione a pagamento (abbonamento o pagamento a consumo).
- Utilizza la residenza dei dati.
Apri progetto
Nella console Google Cloud, vai alla pagina Dashboard.
- Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
Crea un vincolo dei criteri dell'organizzazione
I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurati a livello di questa risorsa, ereditati dalla risorsa principale o impostati sul comportamento predefinito gestito da Google. Nella In questo caso, creerai un vincolo che richiede CMEK verrà applicato al progetto e a tutte le risorse che ereditano progetto.
Per assicurarti che le chiavi di crittografia gestite dal cliente vengano sempre utilizzate per criptare i dati in Apigee, crea il seguente vincolo per i criteri dell'organizzazione:
Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.
- Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
- Nella casella Filtro, inserisci:
constraints/gcp.restrictNonCmekServices
- Fai clic su Altro,
Modifica criterio: Se l'opzione Modifica è disattivata, significa che non disponi delle autorizzazioni necessarie e devi chiedere all'amministratore di concederti il ruolo IAM Amministratore delle norme dell'organizzazione (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per ulteriori informazioni, consulta la sezione Prerequisiti. - Per Origine criterio, seleziona Sostituisci criterio della risorsa padre. Questa risorsa avrà un criterio univoco. Nel passaggio successivo, dovrai specificare come vengono gestite le regole del criterio principale.
- Per Applicazione dei criteri, seleziona una delle seguenti opzioni:
- Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
- Unisci con risorsa padre. Questa opzione aggiunge regole oltre a quelle impostate per la risorsa principale.
Per una spiegazione dell'eredità dei criteri dell'organizzazione, consulta Informazioni sulla valutazione della gerarchia.
- Fai clic su Aggiungi una regola.
- In Valori criterio, seleziona Personalizzato.
- Per Tipo di criterio, seleziona Rifiuta.
- In Valori personalizzati, inserisci:
apigee.googleapis.com
- Fai clic su Fine.
- Fai clic su Imposta criterio. Viene visualizzata la pagina Dettagli norme.
Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che le risorse Apigee create prima della configurazione dei criteri dell'organizzazione CMEK non saranno necessariamente conformi; solo le nuove risorse create dopo l'applicazione del criterio rispetteranno i vincoli CMEK.
Vedi anche:
Esegui il provisioning di Apigee
Provisioning di Apigee in cui sono presenti i criteri dell'organizzazione in corso... dei vincoli consiste negli stessi passaggi del provisioning Apigee per cui non esistono criteri dell'organizzazione vincoli; ma la UI ti impedisce di effettuare selezioni non sono supportati.
Questa sezione descrive la posizione in cui l'interfaccia utente ti guida nelle selezioni.
Nella console Google Cloud, vai alla pagina Apigee.
- Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
- Nella pagina Ti diamo il benvenuto in Apigee API Management, Configurazione utilizzando i valori predefiniti è disattivata poiché devi selezionare esplicitamente i CMEK. Fai clic su Personalizza la configurazione.
- Abilita API: abilita le API richieste come descritto in Passaggio 1: abilita le API richieste
- Configura la rete: configura la rete come descritto in Passaggio 2: configura la rete.
Configura l'hosting e la crittografia:
Percorso dell'utente D: la crittografia gestita dal cliente, con residenza dei dati l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano non CMEK.
- Fai clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.
- Nella sezione Tipo di crittografia, l'opzione Chiave di crittografia gestita da Google è disattivata e l'opzione Chiave di crittografia gestita dal cliente è attivata e non può essere disattivata.
- Fai clic su Avanti.
- Nella sezione Piano di controllo, Abilita residenza dei dati è è attiva e non può essere disattivata.
- Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b. di Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati.
- Personalizza il routing degli accessi: personalizza il routing degli accessi come descritto in Passaggio 4: personalizza il routing degli accessi.
Come limitare i progetti di chiavi di crittografia CMEK
Questa sezione descrive come limitare i progetti di chiavi di crittografia CMEK.
Puoi limitare i progetti che possono fornire chiavi di crittografia tramite un altro
vincolo dei criteri dell'organizzazione: constraints/gcp.restrictCmekCryptoKeyProjects
Con questo vincolo, inserisci nella lista consentita i progetti da cui vengono create le chiavi di crittografia
è possibile utilizzare.
Questo vincolo viene applicato ovunque sia possibile selezionare una CMEK, ovvero al momento durante il provisioning di Apigee o la creazione di un'istanza Apigee.
Se il progetto corrente selezionato nella console Google Cloud non è nella lista consentita
nel vincolo restrictCmekCryptoKeyProjects, non potrai selezionare alcuna chiave dalla casella di selezione della chiave di crittografia. Invece,
dovrai utilizzare una chiave di un progetto
incluso nella lista consentita.
Prerequisiti
Devi:
-
Avere
Ruolo Amministratore criteri dell'organizzazione.
Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione,
chiedi all'amministratore di concederti il ruolo IAM
Amministratore dei criteri dell'organizzazione
(
roles/orgpolicy.policyAdmin) nell'organizzazione. Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci accesso. - Avere i prerequisiti descritti in Introduzione al provisioning.
- Utilizzare un'organizzazione a pagamento (abbonamento o pagamento a consumo)
- Utilizza residenza dei dati
- Provisioning tramite la console Google Cloud (abbonamento o pagamento a consumo).
- Scopri quale progetto contiene le chiavi che vuoi utilizzare.
Apri progetto
Nella console Google Cloud, vai alla pagina Dashboard.
- Seleziona il tuo progetto dall'elenco a discesa della console Google Cloud, se è non ancora selezionato.
Crea un vincolo del criterio dell'organizzazione
I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurati a livello di questa risorsa, ereditati dalla risorsa principale o impostati sul comportamento predefinito gestito da Google. In questo caso, creerai un vincolo che consente le chiavi solo dei progetti inclusi nella lista consentita. Questo vincolo verrà applicato al progetto a tutte le risorse che ereditano dal progetto.
Per assicurarti che le chiavi di crittografia gestite dal cliente vengano utilizzate solo da progetti specifici, aggiungile a una lista consentita:
Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.
- Seleziona il progetto nell'elenco a discesa della console Google Cloud se non è già selezionato.
- Nella casella Filtro, inserisci:
restrictCmekCryptoKeyProjects
- Fai clic su Altro,
Modifica criterio: Se l'opzione Modifica è disattivata, non hai il
autorizzazioni necessarie e devi chiedere all'amministratore di concederti le autorizzazioni
Amministratore criteri dell'organizzazione
(
roles/orgpolicy.policyAdmin) ruolo IAM nella dell'organizzazione. Per ulteriori informazioni, consulta la sezione Prerequisiti. - Per Origine criteri, seleziona Sostituisci criterio della risorsa padre. Questa risorsa avrà un criterio univoco. Nel passaggio successivo specificare come vengono gestite le regole dei criteri padre.
- Per Applicazione dei criteri, seleziona una delle seguenti opzioni:
- Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
- Unisci con l'elemento principale. Questa opzione aggiunge regole oltre a quelle impostate per la risorsa principale.
Per una spiegazione dell'eredità dei criteri dell'organizzazione, consulta Informazioni sulla valutazione della gerarchia.
- Fai clic su Aggiungi una regola.
- Per Valori criterio, seleziona Personalizzato.
- Per Tipo di criterio, seleziona Consenti.
- Per Valori personalizzati, inserisci:
projects/PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio,
my-kms-project. - Fai clic su Fine.
- Fai clic su Imposta criterio. Viene visualizzata la pagina Dettagli norme.
Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che le risorse Apigee create prima della configurazione Non sarà garantita la conformità dei criteri dell'organizzazione CMEK. solo nuovi le risorse create dopo l'applicazione del criterio saranno conformi alle i vincoli CMEK.
Vedi anche:
Esegui il provisioning di Apigee
Il provisioning di Apigee in cui sono presenti vincoli dei criteri dell'organizzazione consiste negli stessi passaggi del provisioning di Apigee in cui non sono presenti vincoli dei criteri dell'organizzazione. Tuttavia, l'interfaccia utente ti impedisce di effettuare selezioni non supportate.
Questa sezione descrive dove l'interfaccia utente ti guida nella scelta.
Nella console Google Cloud, vai alla pagina Apigee.
- Seleziona il tuo progetto dall'elenco a discesa della console Google Cloud, se è non ancora selezionato.
- Nella pagina di gestione delle API Apigee, Fai clic su Personalizza la configurazione.
- Attiva le API: attiva le API richieste come descritto in Passaggio 1: abilita le API richieste.
- Configura la rete: configura la rete come descritto in Passaggio 2: configura la rete.
Configura l'hosting e la crittografia:
Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati è l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano i servizi non CMEK.
- Fai clic su Modifica per aprire nel riquadro Hosting e chiavi di crittografia.
- Nella sezione Tipo di crittografia, Gestita da Google chiave di crittografia sia disabilitata e Crittografia gestita dal cliente. sia abilitata e non può essere disabilitata.
- Fai clic su Avanti.
- Nella sezione Piano di controllo, Abilita residenza dei dati è è attiva e non può essere disattivata.
- Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b. di Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati.
- Personalizza il routing degli accessi: personalizza il routing degli accessi come descritto in Passaggio 4: personalizza il routing degli accessi.
Usa una chiave di un progetto incluso nella lista consentita
Per utilizzare una chiave di un progetto incluso nella lista consentita in Apigee, dovrai inserire manualmente una chiave tramite il relativo ID risorsa. Qualsiasi chiave inserire manualmente verrà convalidato anche per verificare che il progetto sia valido in base ai progetti nella lista consentita nel vincolo.
Come ottenere un ID risorsa Google Cloud KMS
Consulta Ottenere un ID risorsa Cloud KMS
Risoluzione dei problemi
La tabella seguente descrive alcune condizioni di errore comuni che possono verificarsi con i vincoli CMEK e delle norme dell'organizzazione.
| Messaggio di errore | Causa | Procedura |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Hai tentato di eseguire il provisioning di un'organizzazione di prova in cui un vincolo del criterio dell'organizzazione esistente per il progetto. |
CMEK non è supportato per le organizzazioni di prova/valutazione. Per poter eseguire il provisioning di un'organizzazione di prova, dovrai aggiornare il vincolo dei criteri dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi negati. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Hai tentato di eseguire il provisioning di un'organizzazione globale in cui un vincolo del criterio dell'organizzazione esistente per il progetto. |
CMEK non è supportato per le organizzazioni globali. Dovrai aggiornare l'organizzazione
vincolo del criterio constraints/gcp.restrictNonCmekServices
per rimuovere Apigee dall'elenco dei servizi negati o utilizzare un altro
per creare le proprie organizzazioni.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo del criterio dell'organizzazione del progetto senza specificare una CryptoKey KMS. |
Hai impostato il codice nell'organizzazione
che richiedono una CMEK per crittografare
e i dati di Google Cloud. Dovrai fornire la chiave CMEK per poter creare un'organizzazione o
di Compute Engine. Se non vuoi che venga applicata la verifica CMEK, puoi aggiornare
il vincolo del criterio dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere
Apigee dall'elenco dei servizi vietati. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo del criterio dell'organizzazione per il progetto e hai specificato una CryptoKey KMS non inclusa nella lista consentita. |
Hai impostato constraints/gcp.restrictCmekCryptoKeyProjects
nei criteri dell'organizzazione che richiedono di fornire una chiave CMEK dal
ai progetti elencati da te. Dovrai fornire la chiave CMEK da un
autorizzato a creare una o più istanze. In alternativa,
puoi aggiornare il vincolo dei criteri dell'organizzazione
constraints/gcp.restrictCmekCryptoKeyProjects per consentire le chiavi
dal progetto Google Cloud specifico che ti interessa.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Hai tentato di creare un portale in cui esiste un vincolo del criterio dell'organizzazione per del progetto. |
CMEK non è supportato per i portali integrati. Per poter creare un nuovo portale, dovrai aggiornare il vincolo dei criteri dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere Apigee dall'elenco dei servizi negati.
|