本主题将指导您在适用于 IL4(预览版)和 CJIS 合规性制度的 Google Cloud Console 中设置新的 Assured Workloads 环境。如需详细了解 Assured Workloads,请参阅 Assured Workloads 概览。
准备工作
- 了解 Assured Workloads 概念。
- 确保您已经为 Assured Workloads 环境创建文件夹并收到了确认电子邮件。
分配 Identity and Access Management 权限
分配 Assured Workloads Administrator Identity and Access Management (IAM) 角色,其中包含创建和访问 Assured Workloads 环境的最低级别 IAM 权限。
如需授予该角色,请运行以下 gcloud 命令:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="MEMBER" \
--role="roles/assuredworkloads.admin"
替换以下内容:
- ORGANIZATION_ID:您的组织标识符
- MEMBER:您要向其授予相应角色的用户的电子邮件地址,格式为
example@customer.org
roles/assuredworkloads.admin 角色可创建工作负载环境。
如需详细了解如何使用 IAM 角色授予、更改或撤消对资源的访问权限,请参阅授予、更改和撤消对资源的访问权限。
如需详细了解与 Assured Workloads 相关的 IAM 角色,请参阅 IAM 角色。
Access Transparency 配置
某些平台控制措施需要 Access Transparency。如需使用这些控制措施,请启用 Access Transparency。如需了解详情,请参阅 Access Transparency 文档。
在工作负载环境中创建新文件夹
如需创建新的工作负载环境,请执行以下操作:
在 Google Cloud Console 中,转到 Assured Workloads 页面。
在 Cloud Console 工具栏中,点击选择项目,然后选择您的组织。
点击创建。
在创建 Assured Workloads 文件夹步骤中,确保您已满足必要的前提条件,然后点击下一步。
在选择管辖区步骤中,从下拉菜单中选择美国管辖区,然后点击下一步。
在用于选择您的文件夹要支持的合规类型的步骤中,选择 IL4 或CJIS 选项,然后点击下一步。
在用于选择区域的步骤中,选择所需的区域以在 Assured Workloads 环境下部署资源,然后点击下一步。
在用于查看合规性控制的步骤中,确保您了解工作负载的限制条件和控制。此外,请务必查看 IL4 和 CJIS 支持的产品列表。
点击下一步。
在用于配置文件夹的步骤中,执行以下操作:
- 为新文件夹提供文件夹名称,例如
aw-example。
- 对于父级资源,请提供文件夹名称或浏览组织的文件夹,以指定已包含在 Assured Workloads 中的父文件夹。
- 为新文件夹提供文件夹名称,例如
点击下一步。
在用于配置密钥管理的步骤中,您将为客户管理的加密密钥 CMEK创建新的项目和密钥环。如需详细了解 Assured Workloads 中的密钥管理,请参阅支持密钥管理的合规性:
- 在密钥环名称字段中,输入新密钥环的名称。
- 在项目名称字段中,输入要创建的新 CMEK 项目的名称(可选)。如果未指定项目名称,项目名称将自动设置为
cmek-FOLDER_NAME。请勿在项目 ID 中包含敏感数据或个人身份信息 (PII)。 - 在项目 ID 字段中,输入要为加密密钥创建的项目的 ID(可选)。请勿在项目 ID 中包含敏感数据或个人身份信息 (PII)。
- 选择与您的 Google Cloud 组织关联的结算帐号。
在最后一步中,查看有关新的 Assured Workloads 环境的详细信息,并确保它们正确无误。然后,点击创建。
Assured Workloads 会创建以下资源:
- Assured Workloads 资源文件夹,用于强制执行您在受支持的 Google Cloud 资源上指定的合规性配置。如需详细了解受支持的服务,请参阅制度所支持的产品。
- 组织政策,用于强制执行资源位置限制条件和支持案例路由。
包含已配置的 CMEK 密钥环的 CMEK 项目。
如果您使用 CMEK,请参阅创建并获取 CMEK 密钥以了解详情。
后续步骤
- 了解如何在工作负载环境中部署任何受支持的 Google Cloud 产品时获取密钥。
- 了解如何删除工作负载环境。