Menggunakan batasan kebijakan organisasi di Apigee

Halaman ini menjelaskan penggunaan batasan kebijakan organisasi dengan Apigee.

Tidak semua fitur di Apigee menggunakan CMEK untuk enkripsi data sensitif. Untuk memastikan bahwa data yang memerlukan enkripsi dengan CMEK tidak secara tidak sadar menggunakan fitur yang tidak dilindungi CMEK, fitur tersebut akan dinonaktifkan untuk project yang dibatasi CMEK hingga mematuhi kebijakan. Hanya penggunaan baru fitur yang akan dinonaktifkan (membuat resource baru atau mengaktifkan add-on). Fitur dan resource yang sudah digunakan akan tetap tersedia dan dapat diedit, tetapi tidak dilindungi.

Pembuatan organisasi evaluasi diblokir oleh API organisasi apigee gcloud alpha dan wizard penyediaan evaluasi. Saat mencoba melihat wizard penyediaan evaluasi, Anda akan melihat pesan: Evaluasi Apigee tidak tersedia.

Untuk informasi selengkapnya tentang fitur yang dinonaktifkan untuk project dengan batasan CMEK, lihat Batasan kebijakan organisasi.

Persyaratan

Istilah berikut digunakan dalam topik ini:

Istilah Definisi
CMEK Kunci enkripsi yang dikelola pelanggan. Lihat Kunci enkripsi yang dikelola pelanggan untuk deskripsi mendetail.
batasan kebijakan organisasi Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Sehubungan dengan CMEK, ada dua batasan yang relevan:
  • constraints/gcp.restrictNonCmekServices
  • constraints/gcp.restrictCmekCryptoKeyProjects
Penegakan Jaminan bahwa sistem backend Apigee akan mematuhi batasan project (dalam hal ini batasan CMEK)
Pravalidasi Perilaku UI yang memandu Anda dalam memilih konfigurasi yang valid di Apigee sesuai dengan kebijakan organisasi CMEK dan tidak mengekspos fitur yang tidak mematuhi kebijakan
Resource Resource Apigee seperti organisasi dan instance

Cara membatasi layanan non-CMEK

Bagian ini menjelaskan cara membatasi layanan non-CMEK.

  1. Memenuhi prasyarat.
  2. Pilih Project Anda di konsol Google Cloud.
  3. Buat batasan kebijakan organisasi baru.
  4. Sediakan Apigee.

Prasyarat

Anda harus:

Buka project

  1. Di konsol Google Cloud, buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.

Membuat batasan kebijakan organisasi

Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam hal ini, Anda akan membuat batasan yang mewajibkan CMEK dan akan diterapkan ke project dan semua resource yang diwarisi dari project.

Untuk memastikan bahwa kunci enkripsi yang dikelola pelanggan selalu digunakan saat mengenkripsi data Anda di Apigee, buat batasan kebijakan organisasi berikut:

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
  3. Di kotak Filter, masukkan:
    constraints/gcp.restrictNonCmekServices
  4. Klik Lainnya, Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki izin yang diperlukan dan harus meminta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Lihat Prasyarat untuk informasi selengkapnya.
  5. Untuk Sumber kebijakan, pilih Ganti kebijakan induk. Resource ini akan memiliki kebijakan unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
  6. Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
    • Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
    • Gabungkan dengan induk. Opsi ini menambahkan aturan selain aturan yang telah ditetapkan oleh resource induk.

    Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.

  7. Klik Add a rule.
  8. Untuk Nilai kebijakan, pilih Kustom.
  9. Untuk Jenis kebijakan, pilih Tolak.
  10. Untuk Custom values, masukkan:
    apigee.googleapis.com
  11. Klik Done.
  12. Klik Set policy. Halaman Policy details akan ditampilkan.

Setelah mengonfigurasi kebijakan dan memilih project yang inherits/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin kepatuhannya; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.

Lihat juga:

Menyediakan Apigee

Menyediakan Apigee tempat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan menyediakan Apigee tempat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.

Bagian ini menjelaskan tempat UI memandu Anda dalam membuat pilihan.

  1. Di konsol Google Cloud, buka halaman Apigee.

    Buka Apigee

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
  3. Di Halaman selamat datang di pengelolaan Apigee API, Siapkan menggunakan setelan default dinonaktifkan karena Anda harus memilihCMEK secara eksplisit. Klik Sesuaikan penyiapan.
  4. Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan dalam Langkah 1: Aktifkan API yang diperlukan.
  5. Menyiapkan jaringan: Siapkan jaringan seperti yang dijelaskan dalam Langkah 2: Menyiapkan jaringan.
  6. Konfigurasi hosting dan enkripsi:

    Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan retensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.

    1. Klik Edit untuk membuka panel Hosting and encryption keys.
    2. Di bagian Jenis enkripsi, Kunci enkripsi yang dikelola Google dinonaktifkan dan Kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
    3. Klik Berikutnya.
    4. Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
    5. Lanjutkan mengonfigurasi hosting dan enkripsi seperti yang dijelaskan pada langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
  7. Sesuaikan pemilihan rute akses: Sesuaikan pemilihan rute akses seperti yang dijelaskan dalam Langkah 4: Sesuaikan pemilihan rute akses.

Cara membatasi project kunci kriptografis CMEK

Bagian ini menjelaskan cara membatasi project kunci kripto CMEK.

Anda dapat membatasi project yang dapat menyediakan kunci enkripsi melalui batasan kebijakan organisasi lain: constraints/gcp.restrictCmekCryptoKeyProjects Dengan batasan ini, Anda mengizinkan project tempat kunci enkripsi dapat digunakan.

Di mana pun Anda dapat memilih CMEK, yang saat ini dilakukan saat menyediakan Apigee atau membuat instance Apigee, batasan ini akan diterapkan.

Jika project saat ini yang dipilih di konsol Google Cloud tidak diizinkan dalam batasan restrictCmekCryptoKeyProjects, Anda tidak akan dapat memilih kunci apa pun dari kotak pilih kunci enkripsi. Sebagai gantinya, Anda harus menggunakan kunci dari project yang diizinkan.

Prasyarat

Anda harus:

  • Memiliki Peran administrator kebijakan organisasi. Untuk mendapatkan izin yang diperlukan guna mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
  • Memiliki prasyarat yang dijelaskan dalam Pengantar penyediaan.
  • Menggunakan organisasi berbayar (Langganan atau Bayar sesuai penggunaan)
  • Menggunakan residensi data
  • Menyediakan menggunakan Konsol Google Cloud (Langganan atau Bayar sesuai penggunaan).
  • Mengetahui project yang berisi kunci yang ingin Anda gunakan.

Buka project

  1. Di konsol Google Cloud, buka halaman Dasbor.

    Buka Dasbor

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.

Membuat batasan kebijakan organisasi

Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam hal ini, Anda akan membuat batasan yang hanya mengizinkan kunci dari project yang diizinkan. Batasan ini akan diterapkan ke project dan semua resource yang diwarisi dari project.

Untuk memastikan bahwa kunci enkripsi yang dikelola pelanggan hanya digunakan dari project tertentu, tambahkan kunci tersebut ke daftar yang diizinkan:

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
  3. Di kotak Filter, masukkan:
    restrictCmekCryptoKeyProjects
  4. Klik Lainnya, Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki izin yang diperlukan dan harus meminta administrator untuk memberi Anda peran IAM Administrator kebijakan organisasi (roles/orgpolicy.policyAdmin) di organisasi. Lihat Prasyarat untuk informasi selengkapnya.
  5. Untuk Sumber kebijakan, pilih Ganti kebijakan induk. Resource ini akan memiliki kebijakan unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
  6. Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
    • Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
    • Gabungkan dengan induk. Opsi ini menambahkan aturan selain aturan yang telah ditetapkan oleh resource induk.

    Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.

  7. Klik Add a rule.
  8. Untuk Nilai kebijakan, pilih Kustom.
  9. Untuk Jenis kebijakan, pilih Izinkan.
  10. Untuk Custom values, masukkan:
    projects/PROJECT_ID

    Ganti PROJECT_ID dengan project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada. Sebagai contoh, my-kms-project.

  11. Klik Done.
  12. Klik Set policy. Halaman Policy details akan ditampilkan.

Setelah mengonfigurasi kebijakan dan memilih project yang inherits/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin kepatuhannya; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.

Lihat juga:

Menyediakan Apigee

Menyediakan Apigee tempat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan menyediakan Apigee tempat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.

Bagian ini menjelaskan tempat UI memandu Anda dalam membuat pilihan.

  1. Di konsol Google Cloud, buka halaman Apigee.

    Buka Apigee

  2. Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
  3. Di halaman Selamat datang di halaman pengelolaan Apigee API, Klik Sesuaikan penyiapan Anda.
  4. Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan dalam Langkah 1: Aktifkan API yang diperlukan.
  5. Menyiapkan jaringan: Siapkan jaringan seperti yang dijelaskan dalam Langkah 2: Menyiapkan jaringan.
  6. Konfigurasi hosting dan enkripsi:

    Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan retensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.

    1. Klik Edit untuk membuka panel Hosting and encryption keys.
    2. Di bagian Jenis enkripsi, Kunci enkripsi yang dikelola Google dinonaktifkan dan Kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
    3. Klik Berikutnya.
    4. Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
    5. Lanjutkan mengonfigurasi hosting dan enkripsi seperti yang dijelaskan pada langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
  7. Sesuaikan pemilihan rute akses: Sesuaikan pemilihan rute akses seperti yang dijelaskan dalam Langkah 4: Sesuaikan pemilihan rute akses.

Menggunakan kunci dari project yang diizinkan

Untuk menggunakan kunci dari project yang diizinkan di Apigee, Anda harus memasukkan kunci secara manual berdasarkan resource ID-nya. Setiap kunci yang Anda masukkan secara manual juga akan divalidasi untuk memastikan bahwa project-nya valid berdasarkan project yang diizinkan dalam batasan.

Cara mendapatkan ID resource Google Cloud KMS

Lihat: Mendapatkan ID resource Cloud KMS

Pemecahan masalah

Tabel berikut menjelaskan beberapa kondisi error umum yang dapat terjadi dengan CMEK dan batasan kebijakan organisasi.

Pesan error Penyebab Langkah-langkah yang harus dilakukan
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. Anda mencoba menyediakan organisasi uji coba yang memiliki batasan kebijakan organisasi untuk project. CMEK tidak didukung untuk organisasi uji coba/penilaian. Anda harus memperbarui batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus Apigee dari daftar layanan yang ditolak agar dapat menyediakan organisasi uji coba.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. Anda mencoba menyediakan organisasi global tempat batasan kebijakan organisasi ada untuk project. CMEK tidak didukung untuk organisasi global. Anda harus memperbarui batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus Apigee dari daftar layanan yang ditolak atau menggunakan lokasi lain untuk membuat organisasinya.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. Anda mencoba menyediakan organisasi tempat batasan kebijakan organisasi ada untuk project tanpa menentukan CryptoKey KMS. Anda telah menetapkan kode dalam kebijakan organisasi yang mengharuskan Anda memberikan CMEK untuk mengenkripsi data. Anda harus memberikan kunci CMEK agar dapat membuat organisasi atau instance. Jika tidak ingin menerapkan CMEK, Anda dapat memperbarui constraints/gcp.restrictNonCmekServices batasan kebijakan organisasi untuk menghapus Apigee dari daftar layanan yang ditolak.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint. Anda mencoba menyediakan organisasi yang memiliki batasan kebijakan organisasi untuk project dan menentukan KMS CryptoKey yang tidak diizinkan. Anda telah menetapkan constraints/gcp.restrictCmekCryptoKeyProjects dalam kebijakan organisasi yang mengharuskan Anda memberikan kunci CMEK dari project yang diizinkan yang tercantum oleh Anda. Anda harus memberikan kunci CMEK dari project yang diizinkan agar dapat membuat organisasi atau instance. Atau, Anda dapat memperbarui batasan kebijakan organisasi constraints/gcp.restrictCmekCryptoKeyProjects untuk mengizinkan kunci dari project Google Cloud tertentu yang Anda inginkan.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. Anda mencoba membuat portal tempat batasan kebijakan organisasi ada untuk project. CMEK tidak didukung untuk Portal Terpadu. Anda harus memperbarui constraints/gcp.restrictNonCmekServices batasan kebijakan organisasi untuk menghapus Apigee dari daftar layanan yang ditolak agar dapat membuat portal baru.