Crie uma nova carga de trabalho das Regiões e suporte da UE com controles de soberania

Este tópico orienta você na configuração de um novo ambiente do Assured Workloads no console do Google Cloud para UE com os controles soberanos. Para mais informações sobre o Assured Workloads, consulte Visão geral do Assured Workloads.

Antes de começar

Entenda os conceitos do Assured Workloads.
Verifique se você já criou uma pasta para os ambientes do Assured Workloads e recebeu um e-mail de confirmação.

Atribuir permissões de gerenciamento de identidade e acesso

Atribua o papel Assured Workloads Administrator de gerenciamento de identidade e acesso (IAM), que contém os níveis mínimos de permissões do IAM para criar e acessar os ambientes do Assured Workloads.

Para conceder o papel, execute o seguinte comando gcloud:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="MEMBER" \
    --role="roles/assuredworkloads.admin"

Substitua:

ORGANIZATION_ID: o identificador da organização
MEMBER: o endereço de e-mail do usuário a quem você quer conceder o papel, no formato example@customer.org

O papel roles/assuredworkloads.admin permite a criação de ambientes de carga de trabalho.

Para saber mais sobre como conceder, alterar ou revogar acesso a recursos usando papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.

Para mais informações sobre os papéis de IAM relacionados ao Assured Workloads, consulte Papéis de IAM.

Configuração da transparência no acesso

A transparência no acesso é necessária para alguns controles de plataforma. Para usar esses controles, ative a transparência no acesso. Consulte a documentação da transparência no acesso para saber mais.

Criar uma nova pasta em um ambiente de carga de trabalho

Para criar um novo ambiente de carga de trabalho, faça o seguinte:

No console do Google Cloud, acesse a página Assured Workloads.

Acesse o Assured Workloads
Na barra de ferramentas do console do Google Cloud, clique em Selecionar um projeto e escolha sua organização.
Clique em Criar.
Nas etapas em Criar uma pasta do Assured Workloads, verifique se você atende aos pré-requisitos necessários e clique em Continuar.
Na etapa Selecionar jurisdição, selecione UE no menu suspenso e clique em Continuar.
Na etapa Selecione um tipo de controle de plataforma para ser compatível com sua pasta, selecione a opção Regiões e suporte da UE com controles de soberania e clique em Continuar.
Na etapa para Selecionar uma região, selecione Europa e clique em Continuar.
Na etapa para Revisar os controles, entenda as restrições e os controles da carga de trabalho. Além disso, analise a lista de produtos compatíveis para regiões e suporte da UE com controles de soberania.
Clique em Next.
Na etapa para Configurar sua pasta, faça o seguinte:
- digite um Nome da pasta para a nova pasta, como aw-example.
Dica:ao nomear as pastas do Assured Workloads, considere o seguinte:
- Para identificar a pasta como uma pasta do Assured Workloads, inclua um prefixo no nome (como aw-). Esse identificador pode ajudar você a localizar a pasta em uma lista com outros recursos.
- Não inclua dados confidenciais ou informações de identificação pessoal (PII) no nome do projeto.
- Em Recurso pai, forneça o nome da pasta ou procure nas pastas da organização para especificar a pasta mãe que já foi integrada ao Assured Workloads.
Clique em Next.
Na etapa Configurar gerenciamento de chaves, você criará um novo projeto e um keyring para suas chaves de criptografia gerenciadas pelo cliente (CMEK). Para mais informações sobre o gerenciamento de chaves no Assured Workloads, consulte Como garantir compliance com o gerenciamento de chaves:
- No campo Nome do keyring, digite o nome do novo keyring.
- No campo Nome do projeto, insira o nome do novo projeto de CMEK a ser criado (opcional). Se nenhum nome de projeto for especificado, o nome do projeto será definido automaticamente como cmek-FOLDER_NAME. Não inclua dados confidenciais ou informações de identificação pessoal (PII) no ID do projeto.
- No campo ID do projeto, insira o ID do projeto a ser criado para as chaves de criptografia (opcional). Não inclua dados confidenciais ou informações de identificação pessoal (PII) no ID do projeto.
- Selecione a conta de faturamento associada à sua organização do Google Cloud.
Na última etapa, revise os detalhes do novo ambiente do Assured Workloads e verifique se eles estão corretos. Clique em Criar.

O Assured Workloads cria os seguintes recursos:

Uma pasta de recursos do Assured Workloads, que impõe a configuração de controle especificada em recursos do Google Cloud compatíveis. Para saber mais sobre os serviços compatíveis, consulte Produtos compatíveis por regime.
Políticas da organização para aplicar a restrição de local de recursos e roteamento de casos de suporte.
Um projeto de CMEK que contém o keyring configurado.

Observação: a criação de ambientes não cria chaves automaticamente. Depois de criar o ambiente, é necessário criar uma chave de criptografia antes de adicionar recursos ao ambiente.

Caso use CMEK, consulte Criar e obter uma chave CMEK para saber mais.

A seguir

Saiba como conseguir a chave ao implantar qualquer um dos produtos do Google Cloud compatíveis no ambiente de carga de trabalho.
Saiba como excluir um ambiente de carga de trabalho.