Halaman ini menjelaskan penggunaan batasan kebijakan organisasi dengan Apigee.
Tidak semua fitur di Apigee menggunakan CMEK untuk enkripsi data sensitif. Untuk memastikan bahwa data yang memerlukan enkripsi dengan CMEK tidak secara tidak sadar menggunakan fitur yang tidak dilindungi CMEK, fitur tersebut akan dinonaktifkan untuk project yang dibatasi CMEK hingga mematuhi kebijakan. Hanya penggunaan baru fitur yang akan dinonaktifkan (membuat resource baru atau mengaktifkan add-on). Fitur dan resource yang sudah digunakan akan tetap tersedia dan dapat diedit, tetapi tidak dilindungi.
Pembuatan organisasi evaluasi diblokir oleh API organisasi apigee gcloud alpha dan wizard penyediaan evaluasi. Saat mencoba melihat wizard penyediaan evaluasi, Anda akan melihat pesan: Evaluasi Apigee tidak tersedia.
Untuk informasi selengkapnya tentang fitur yang dinonaktifkan untuk project dengan batasan CMEK, lihat Batasan kebijakan organisasi.
Persyaratan
Istilah berikut digunakan dalam topik ini:
Istilah | Definisi |
---|---|
CMEK | Kunci enkripsi yang dikelola pelanggan. Lihat Kunci enkripsi yang dikelola pelanggan untuk deskripsi mendetail. |
batasan kebijakan organisasi | Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Sehubungan dengan CMEK, ada
dua batasan yang relevan:
|
Penegakan | Jaminan bahwa sistem backend Apigee akan mematuhi batasan project (dalam hal ini batasan CMEK) |
Pravalidasi | Perilaku UI yang memandu Anda dalam memilih konfigurasi yang valid di Apigee sesuai dengan kebijakan organisasi CMEK dan tidak mengekspos fitur yang tidak mematuhi kebijakan |
Resource | Resource Apigee seperti organisasi dan instance |
Cara membatasi layanan non-CMEK
Bagian ini menjelaskan cara membatasi layanan non-CMEK.
- Memenuhi prasyarat.
- Pilih Project Anda di konsol Google Cloud.
- Buat batasan kebijakan organisasi baru.
- Sediakan Apigee.
Prasyarat
Anda harus:
-
Memiliki
Peran administrator kebijakan organisasi.
Untuk mendapatkan izin yang diperlukan guna mengelola kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM
Administrator kebijakan organisasi
(
roles/orgpolicy.policyAdmin
) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses. - Memiliki prasyarat yang dijelaskan dalam Pengantar penyediaan.
- Menggunakan organisasi berbayar (Langganan atau Bayar sesuai penggunaan).
- Gunakan residensi data.
Buka project
Di konsol Google Cloud, buka halaman Dasbor.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
Membuat batasan kebijakan organisasi
Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam hal ini, Anda akan membuat batasan yang mewajibkan CMEK dan akan diterapkan ke project dan semua resource yang diwarisi dari project.
Untuk memastikan bahwa kunci enkripsi yang dikelola pelanggan selalu digunakan saat mengenkripsi data Anda di Apigee, buat batasan kebijakan organisasi berikut:
Di konsol Google Cloud, buka halaman Organization policies.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di kotak Filter, masukkan:
constraints/gcp.restrictNonCmekServices
- Klik
Administrator kebijakan organisasi
(
roles/orgpolicy.policyAdmin
) di organisasi. Lihat Prasyarat untuk informasi selengkapnya.
Lainnya,
Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki izin yang diperlukan dan harus meminta administrator untuk memberi Anda peran IAM - Untuk Sumber kebijakan, pilih Ganti kebijakan induk. Resource ini akan memiliki kebijakan unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
- Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
- Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
- Gabungkan dengan induk. Opsi ini menambahkan aturan selain aturan yang telah ditetapkan oleh resource induk.
Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.
- Klik Add a rule.
- Untuk Nilai kebijakan, pilih Kustom.
- Untuk Jenis kebijakan, pilih Tolak.
- Untuk Custom values, masukkan:
apigee.googleapis.com
- Klik Done.
- Klik Set policy. Halaman Policy details akan ditampilkan.
Setelah mengonfigurasi kebijakan dan memilih project yang inherits/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin kepatuhannya; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.
Lihat juga:
Menyediakan Apigee
Menyediakan Apigee tempat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan menyediakan Apigee tempat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.
Bagian ini menjelaskan tempat UI memandu Anda dalam membuat pilihan.
Di konsol Google Cloud, buka halaman Apigee.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di Halaman selamat datang di pengelolaan Apigee API, Siapkan menggunakan setelan default dinonaktifkan karena Anda harus memilihCMEK secara eksplisit. Klik Sesuaikan penyiapan.
- Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan dalam Langkah 1: Aktifkan API yang diperlukan.
- Menyiapkan jaringan: Siapkan jaringan seperti yang dijelaskan dalam Langkah 2: Menyiapkan jaringan.
Konfigurasi hosting dan enkripsi:
Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan retensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.
- Klik Edit untuk membuka panel Hosting and encryption keys.
- Di bagian Jenis enkripsi, Kunci enkripsi yang dikelola Google dinonaktifkan dan Kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
- Klik Berikutnya.
- Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
- Lanjutkan mengonfigurasi hosting dan enkripsi seperti yang dijelaskan pada langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
- Sesuaikan pemilihan rute akses: Sesuaikan pemilihan rute akses seperti yang dijelaskan dalam Langkah 4: Sesuaikan pemilihan rute akses.
Cara membatasi project kunci kriptografis CMEK
Bagian ini menjelaskan cara membatasi project kunci kripto CMEK.
Anda dapat membatasi project yang dapat menyediakan kunci enkripsi melalui batasan kebijakan organisasi lain: constraints/gcp.restrictCmekCryptoKeyProjects
Dengan batasan ini, Anda mengizinkan project tempat kunci enkripsi dapat digunakan.
Di mana pun Anda dapat memilih CMEK, yang saat ini dilakukan saat menyediakan Apigee atau membuat instance Apigee, batasan ini akan diterapkan.
Jika project saat ini yang dipilih di konsol Google Cloud tidak diizinkan dalam batasan restrictCmekCryptoKeyProjects
, Anda tidak akan dapat memilih kunci apa pun dari kotak pilih kunci enkripsi. Sebagai gantinya,
Anda harus menggunakan kunci dari project yang diizinkan.
Prasyarat
Anda harus:
-
Memiliki
Peran administrator kebijakan organisasi.
Untuk mendapatkan izin yang diperlukan guna mengelola kebijakan organisasi,
minta administrator untuk memberi Anda
peran IAM
Administrator kebijakan organisasi
(
roles/orgpolicy.policyAdmin
) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses. - Memiliki prasyarat yang dijelaskan dalam Pengantar penyediaan.
- Menggunakan organisasi berbayar (Langganan atau Bayar sesuai penggunaan)
- Menggunakan residensi data
- Menyediakan menggunakan Konsol Google Cloud (Langganan atau Bayar sesuai penggunaan).
- Mengetahui project yang berisi kunci yang ingin Anda gunakan.
Buka project
Di konsol Google Cloud, buka halaman Dasbor.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
Membuat batasan kebijakan organisasi
Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam hal ini, Anda akan membuat batasan yang hanya mengizinkan kunci dari project yang diizinkan. Batasan ini akan diterapkan ke project dan semua resource yang diwarisi dari project.
Untuk memastikan bahwa kunci enkripsi yang dikelola pelanggan hanya digunakan dari project tertentu, tambahkan kunci tersebut ke daftar yang diizinkan:
Di konsol Google Cloud, buka halaman Organization policies.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di kotak Filter, masukkan:
restrictCmekCryptoKeyProjects
- Klik
Administrator kebijakan organisasi
(
roles/orgpolicy.policyAdmin
) di organisasi. Lihat Prasyarat untuk informasi selengkapnya.
Lainnya,
Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki izin yang diperlukan dan harus meminta administrator untuk memberi Anda peran IAM - Untuk Sumber kebijakan, pilih Ganti kebijakan induk. Resource ini akan memiliki kebijakan unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
- Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
- Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
- Gabungkan dengan induk. Opsi ini menambahkan aturan selain aturan yang telah ditetapkan oleh resource induk.
Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.
- Klik Add a rule.
- Untuk Nilai kebijakan, pilih Kustom.
- Untuk Jenis kebijakan, pilih Izinkan.
- Untuk Custom values, masukkan:
projects/PROJECT_ID
Ganti PROJECT_ID dengan project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada. Sebagai contoh,
my-kms-project
. - Klik Done.
- Klik Set policy. Halaman Policy details akan ditampilkan.
Setelah mengonfigurasi kebijakan dan memilih project yang inherits/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin kepatuhannya; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.
Lihat juga:
Menyediakan Apigee
Menyediakan Apigee tempat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan menyediakan Apigee tempat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.
Bagian ini menjelaskan tempat UI memandu Anda dalam membuat pilihan.
Di konsol Google Cloud, buka halaman Apigee.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di halaman Selamat datang di halaman pengelolaan Apigee API, Klik Sesuaikan penyiapan Anda.
- Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan dalam Langkah 1: Aktifkan API yang diperlukan.
- Menyiapkan jaringan: Siapkan jaringan seperti yang dijelaskan dalam Langkah 2: Menyiapkan jaringan.
Konfigurasi hosting dan enkripsi:
Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan retensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.
- Klik Edit untuk membuka panel Hosting and encryption keys.
- Di bagian Jenis enkripsi, Kunci enkripsi yang dikelola Google dinonaktifkan dan Kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
- Klik Berikutnya.
- Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
- Lanjutkan mengonfigurasi hosting dan enkripsi seperti yang dijelaskan pada langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
- Sesuaikan pemilihan rute akses: Sesuaikan pemilihan rute akses seperti yang dijelaskan dalam Langkah 4: Sesuaikan pemilihan rute akses.
Menggunakan kunci dari project yang diizinkan
Untuk menggunakan kunci dari project yang diizinkan di Apigee, Anda harus memasukkan kunci secara manual berdasarkan resource ID-nya. Setiap kunci yang Anda masukkan secara manual juga akan divalidasi untuk memastikan bahwa project-nya valid berdasarkan project yang diizinkan dalam batasan.
Cara mendapatkan ID resource Google Cloud KMS
Lihat: Mendapatkan ID resource Cloud KMS
Pemecahan masalah
Tabel berikut menjelaskan beberapa kondisi error umum yang dapat terjadi dengan CMEK dan batasan kebijakan organisasi.
Pesan error | Penyebab | Langkah-langkah yang harus dilakukan |
---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Anda mencoba menyediakan organisasi uji coba yang memiliki batasan kebijakan organisasi untuk project. |
CMEK tidak didukung untuk organisasi uji coba/penilaian. Anda harus memperbarui batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus Apigee dari daftar layanan yang ditolak agar dapat menyediakan organisasi uji coba. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Anda mencoba menyediakan organisasi global tempat batasan kebijakan organisasi ada untuk project. |
CMEK tidak didukung untuk organisasi global. Anda harus memperbarui batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus Apigee dari daftar layanan yang ditolak atau menggunakan lokasi lain untuk membuat organisasinya.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Anda mencoba menyediakan organisasi tempat batasan kebijakan organisasi ada untuk project tanpa menentukan CryptoKey KMS. |
Anda telah menetapkan kode dalam kebijakan organisasi yang mengharuskan Anda memberikan CMEK untuk mengenkripsi data. Anda harus memberikan kunci CMEK agar dapat membuat organisasi atau instance. Jika tidak ingin menerapkan CMEK, Anda dapat memperbarui constraints/gcp.restrictNonCmekServices batasan kebijakan organisasi untuk menghapus Apigee dari daftar layanan yang ditolak. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Anda mencoba menyediakan organisasi yang memiliki batasan kebijakan organisasi untuk project dan menentukan KMS CryptoKey yang tidak diizinkan. |
Anda telah menetapkan constraints/gcp.restrictCmekCryptoKeyProjects
dalam kebijakan organisasi yang mengharuskan Anda memberikan kunci CMEK dari project yang diizinkan
yang tercantum oleh Anda. Anda harus memberikan kunci CMEK dari project yang diizinkan agar dapat membuat organisasi atau instance. Atau,
Anda dapat memperbarui batasan kebijakan organisasi
constraints/gcp.restrictCmekCryptoKeyProjects untuk mengizinkan kunci
dari project Google Cloud tertentu yang Anda inginkan.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Anda mencoba membuat portal tempat batasan kebijakan organisasi ada untuk project. |
CMEK tidak didukung untuk Portal Terpadu. Anda harus memperbarui constraints/gcp.restrictNonCmekServices batasan kebijakan organisasi untuk menghapus Apigee dari daftar layanan yang ditolak agar dapat membuat portal baru.
|