En esta página, se describe el uso de restricciones de políticas de la organización con Apigee.
No todas las funciones de Apigee usan CMEK para la encriptación de datos sensibles. Para garantizar que los datos que requieren encriptación con CMEK no usen funciones que no están protegidas por CMEK sin saberlo, esas funciones se inhabilitarán para los proyectos con restricciones de CMEK hasta que cumplan con los requisitos. Solo se inhabilitarán los usos nuevos de las funciones (crear recursos nuevos o habilitar un complemento). Las funciones y los recursos que ya están en uso seguirán disponibles y editables, pero no estarán protegidos.
La creación de organizaciones de evaluación se bloquea tanto con la API de gcloud alpha apigee organizations como con el asistente de aprovisionamiento de evaluación. Cuando intentes ver el asistente de aprovisionamiento de evaluación, verás el mensaje: La evaluación de Apigee no está disponible.
Para obtener más información sobre las funciones que están inhabilitadas para los proyectos con restricciones de CMEK, consulta Restricciones de las políticas de la organización.
Condiciones
En este tema, se usan los siguientes términos:
| Término | Definición |
|---|---|
| CMEK | Clave de encriptación administrada por el cliente Consulta Claves de encriptación administradas por el cliente para obtener una descripción detallada. |
| Restricciones de las políticas de la organización | Una limitación es un tipo particular de restricción contra un servicio de Google Cloud o una lista de servicios de Google Cloud. En lo que respecta a CMEK, existen dos restricciones relevantes:
|
| Aplicación | Una garantía de que los sistemas de backend de Apigee cumplirán con la restricción de un proyecto (restricciones de CMEK en este caso) |
| Prevalidación | Comportamientos de la IU que te guían para seleccionar configuraciones válidas en Apigee de acuerdo con las políticas de la organización de CMEK y que no exponen funciones que no cumplen con los requisitos |
| Recursos | Recursos de Apigee, como organizaciones e instancias |
Cómo restringir los servicios que no son de CMEK
En esta sección, se describe cómo restringir los servicios que no son de CMEK.
- Cumple con los requisitos previos.
- Selecciona tu proyecto en la consola de Google Cloud.
- Crea una nueva restricción de la política de la organización.
- Aprovisiona Apigee.
Requisitos previos
Debes:
-
Tener el rol de administrador de políticas de la organización.
Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso. - Tener los requisitos previos que se describen en Introducción al aprovisionamiento.
- Usar una organización pagada (de suscripción o de pago por uso).
- Usar la residencia de los datos.
Abrir el proyecto
En la consola de Google Cloud, ve a la página Panel.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
Crea una restricción de política de la organización
Las políticas de la organización se definen según los valores establecidos para cada restricción. Se configuran a nivel de este recurso, se heredan del recurso principal o se establecen con el comportamiento predeterminado administrado por Google. En este caso, crearás una restricción que requiera CMEK y se aplicará al proyecto y a todos los recursos que hereden del proyecto.
Para garantizar que siempre se usen claves de encriptación administradas por el cliente cuando se encripten tus datos en Apigee, crea la siguiente restricción de la política de la organización:
En la consola de Google Cloud, ve a la página Políticas de la organización.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
- En la casilla Filtro, ingresa .
constraints/gcp.restrictNonCmekServices
- Haz clic en Más y, luego, en Editar política. Si Editar está inhabilitado, significa que no tienes los permisos necesarios y debes pedirle a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Consulta los Requisitos previos para obtener más información. - En Fuente de la política, selecciona Anular la política del elemento superior. Este recurso tendrá una política única. En el siguiente paso, especificarás cómo se controlan las reglas de la política superior.
- En Aplicación de la política, selecciona una de las siguientes opciones:
- Reemplazar. Esta opción ignora la política del elemento superior y usa estas reglas.
- Combinar con elemento superior. Esta opción agrega reglas adicionales a las que configura el recurso superior.
Consulta Comprende la evaluación de jerarquías para obtener una explicación de la herencia de políticas de la organización.
- Haz clic en Agregar una regla.
- En Valores de la política, elige Personalizado.
- En Tipo de política, selecciona Rechazar.
- En Valores personalizados, ingresa lo siguiente:
apigee.googleapis.com
- Haz clic en Listo.
- Haz clic en Establecer política. Se muestra la página Detalles de la política.
Una vez que hayas configurado la política y seleccionado un proyecto que la herede o la use, estarás listo para aprovisionar Apigee. Ten en cuenta que no se garantiza que los recursos de Apigee que se crearon antes de configurar las políticas de la organización de CMEK cumplan con los requisitos. Solo los recursos nuevos que se creen después de que se implemente la política cumplirán con las restricciones de CMEK.
También consulta lo siguiente:
Aprovisiona Apigee
El aprovisionamiento de Apigee en el que tienes restricciones de la política de la organización consiste en los mismos pasos que el aprovisionamiento de Apigee en el que no tienes restricciones de la política de la organización. Sin embargo, la IU te impide realizar selecciones que no son compatibles.
En esta sección, se describe dónde te guía la IU para realizar selecciones.
En la consola de Google Cloud, ve a la página Apigee.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
- En la página Te damos la bienvenida a la administración de la API de Apigee, la opción Configurar con valores predeterminados está inhabilitada, ya que debes seleccionar explícitamente las CMK. Haz clic en Personalizar la configuración.
- Habilita las APIs: Habilita las APIs necesarias como se describe en el Paso 1: Habilita las APIs necesarias.
- Configura las herramientas de redes: Configura las herramientas de redes como se describe en el Paso 2: Configura las herramientas de redes.
Configura el hosting y la encriptación:
El recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos es el único recorrido del usuario relevante para las restricciones de políticas de la organización que limitan los servicios que no son de CMEK.
- Haz clic en Editar para abrir el panel Hosting y claves de encriptación.
- En la sección Tipo de encriptación, la Clave de encriptación administrada por Google está inhabilitada, y la Clave de encriptación administrada por el cliente está habilitada y no se puede inhabilitar.
- Haz clic en Siguiente.
- En la sección Control Plane, la opción Habilitar la residencia de datos está habilitada y no se puede inhabilitar.
- Continúa configurando el hosting y la encriptación como se describe en el paso 3.b. de Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos.
- Personaliza el enrutamiento de acceso: Personaliza el enrutamiento de acceso como se describe en el Paso 4: Personaliza el enrutamiento de acceso.
Cómo restringir proyectos de claves criptográficas CMEK
En esta sección, se describe cómo restringir los proyectos de claves de criptografía de CMEK.
Puedes restringir qué proyectos pueden proporcionar claves de encriptación a través de otra restricción de la política de la organización: constraints/gcp.restrictCmekCryptoKeyProjects Con esta restricción, puedes incluir en la lista de entidades permitidas los proyectos desde los que se pueden usar las claves de encriptación.
Esta restricción se aplica en cualquier lugar donde puedas seleccionar una CMEK, que actualmente es durante el aprovisionamiento de Apigee o la creación de una instancia de Apigee.
Si el proyecto actual seleccionado en la consola de Google Cloud no está en la lista de entidades permitidas de la restricción restrictCmekCryptoKeyProjects, no podrás seleccionar ninguna clave del cuadro de selección de claves de encriptación. En su lugar, deberás usar una clave de un proyecto que esté en la lista de entidades permitidas.
Requisitos previos
Debes:
-
Tener el rol de administrador de políticas de la organización.
Para obtener los permisos que necesitas a fin de administrar las políticas de la organización, pídele a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso. - Tener los requisitos previos que se describen en Introducción al aprovisionamiento.
- Usar una organización pagada (de suscripción o de pago por uso)
- Usar la residencia de datos
- Aprovisionar con la consola de Google Cloud (Suscripción o Pago por uso).
- Conocer qué proyecto contiene las claves que deseas usar.
Abrir el proyecto
En la consola de Google Cloud, ve a la página Panel.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
Crea una restricción de política de la organización
Las políticas de la organización se definen según los valores establecidos para cada restricción. Se configuran a nivel de este recurso, se heredan del recurso principal o se establecen con el comportamiento predeterminado administrado por Google. En este caso, crearás una restricción que permita solo claves de proyectos incluidos en la lista de entidades permitidas. Esta restricción se aplicará al proyecto y a todos los recursos que hereden del proyecto.
Para asegurarte de que las claves de encriptación administradas por el cliente solo se usen desde proyectos específicos, agrégalas a una lista de entidades permitidas:
En la consola de Google Cloud, ve a la página Políticas de la organización.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
- En la casilla Filtro, ingresa .
restrictCmekCryptoKeyProjects
- Haz clic en Más y, luego, en Editar política. Si Editar está inhabilitado, significa que no tienes los permisos necesarios y debes pedirle a tu administrador que te otorgue el rol de IAM Administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Consulta los Requisitos previos para obtener más información. - En Fuente de la política, selecciona Anular la política del elemento superior. Este recurso tendrá una política única. En el siguiente paso, especificarás cómo se controlan las reglas de la política superior.
- En Aplicación de la política, selecciona una de las siguientes opciones:
- Reemplazar. Esta opción ignora la política del elemento superior y usa estas reglas.
- Combinar con elemento superior. Esta opción agrega reglas adicionales a las que configura el recurso superior.
Consulta Comprende la evaluación de jerarquías para obtener una explicación de la herencia de políticas de la organización.
- Haz clic en Agregar una regla.
- En Valores de la política, elige Personalizado.
- En Tipo de política, elige Permitir.
- En Valores personalizados, ingresa lo siguiente:
projects/PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar. Por ejemplo,
my-kms-project. - Haz clic en Listo.
- Haz clic en Establecer política. Se muestra la página Detalles de la política.
Una vez que hayas configurado la política y seleccionado un proyecto que la herede o la use, estarás listo para aprovisionar Apigee. Ten en cuenta que no se garantiza que los recursos de Apigee que se crearon antes de configurar las políticas de la organización de CMEK cumplan con los requisitos. Solo los recursos nuevos que se creen después de que se implemente la política cumplirán con las restricciones de CMEK.
También consulta lo siguiente:
Aprovisiona Apigee
El aprovisionamiento de Apigee en el que tienes restricciones de la política de la organización consiste en los mismos pasos que el aprovisionamiento de Apigee en el que no tienes restricciones de la política de la organización. Sin embargo, la IU te impide realizar selecciones que no son compatibles.
En esta sección, se describe dónde te guía la IU para realizar selecciones.
En la consola de Google Cloud, ve a la página Apigee.
- Selecciona tu proyecto en la lista desplegable de la consola de Google Cloud si aún no lo haces.
- En la página Te damos la bienvenida a la administración de la API de Apigee, haz clic en Personalizar tu configuración.
- Habilita las APIs: Habilita las APIs necesarias como se describe en el Paso 1: Habilita las APIs necesarias.
- Configura las herramientas de redes: Configura las herramientas de redes como se describe en el Paso 2: Configura las herramientas de redes.
Configura el hosting y la encriptación:
El recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos es el único recorrido del usuario relevante para las restricciones de políticas de la organización que limitan los servicios que no son de CMEK.
- Haz clic en Editar para abrir el panel Hosting y claves de encriptación.
- En la sección Tipo de encriptación, la Clave de encriptación administrada por Google está inhabilitada, y la Clave de encriptación administrada por el cliente está habilitada y no se puede inhabilitar.
- Haz clic en Siguiente.
- En la sección Control Plane, la opción Habilitar la residencia de datos está habilitada y no se puede inhabilitar.
- Continúa configurando el hosting y la encriptación como se describe en el paso 3.b. de Recorrido del usuario D: Encriptación administrada por el cliente, con residencia de datos.
- Personaliza el enrutamiento de acceso: Personaliza el enrutamiento de acceso como se describe en el Paso 4: Personaliza el enrutamiento de acceso.
Usa una clave de un proyecto incluido en la lista de entidades permitidas
Para usar una clave de un proyecto que esté en la lista de entidades permitidas en Apigee, deberás ingresar una clave manualmente por su ID de recurso. Cualquier clave que ingreses manualmente también se validará para garantizar que su proyecto sea válido según los proyectos de la lista de entidades permitidas en la restricción.
Cómo obtener un ID de recurso de Google Cloud KMS
Consulta: Obtén un ID de recurso de Cloud KMS
Soluciona problemas
En la siguiente tabla, se describen algunas condiciones de error comunes que pueden surgir con las restricciones de CMEK y de la política de la organización.
| Mensaje de error | Causa | Pasos |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Intentaste aprovisionar una organización de prueba en la que existe una restricción de la política de la organización para el proyecto. |
CMEK no es compatible con las organizaciones de prueba o evaluación. Deberás actualizar la restricción de la política de la organización constraints/gcp.restrictNonCmekServices para quitar Apigee de la lista de servicios denegados y poder aprovisionar una organización de prueba. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Intentaste aprovisionar una organización global en la que existe una restricción de la política de la organización para el proyecto. |
CMEK no es compatible con las organizaciones globales. Deberás actualizar la restricción de políticas de la organización constraints/gcp.restrictNonCmekServices para quitar Apigee de la lista de servicios denegados o usar una ubicación diferente para crear sus organizaciones.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Intentaste aprovisionar una organización en la que existe una restricción de la política de la organización para el proyecto sin especificar una CryptoKey de KMS. |
Configuraste código en las políticas de la organización, que requieren que proporciones una CMEK para encriptar tus datos. Deberás proporcionar la clave CMEK para poder crear una organización o instancias. Si no quieres aplicar la aplicación forzosa de CMEK, puedes actualizar la restricción de la política de la organización constraints/gcp.restrictNonCmekServices para quitar Apigee de la lista de servicios denegados. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Intentaste aprovisionar una organización en la que existe una restricción de la política de la organización para el proyecto y especificaste una CryptoKey de KMS que no está incluida en la lista de entidades permitidas. |
Configuraste constraints/gcp.restrictCmekCryptoKeyProjects en las políticas de la organización, que requieren que proporciones una clave CMEK de los proyectos permitidos que enumeraste. Deberás proporcionar la CMEK de un proyecto permitido para poder crear una organización o instancias. Como alternativa, puedes actualizar la restricción de la política de la organización constraints/gcp.restrictCmekCryptoKeyProjects para permitir claves del proyecto de Google Cloud específico que desees.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Intentaste crear un portal en el que existe una restricción de la política de la organización para el proyecto. |
Las CMEK no son compatibles con los portales integrados. Deberás actualizar la restricción de política de la organización constraints/gcp.restrictNonCmekServices para quitar Apigee de la lista de servicios denegados y poder crear un portal nuevo.
|