在工作负载环境中创建新文件夹(IL4、CJIS)

本主题将指导您在适用于 IL4(预览版)和 CJIS 合规性制度的 Google Cloud Console 中设置新的 Assured Workloads 环境。如需详细了解 Assured Workloads,请参阅 Assured Workloads 概览

准备工作

分配 Identity and Access Management 权限

分配 Assured Workloads Administrator Identity and Access Management (IAM) 角色,其中包含创建和访问 Assured Workloads 环境的最低级别 IAM 权限。

如需授予该角色,请运行以下 gcloud 命令:

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="MEMBER" \
    --role="roles/assuredworkloads.admin"

替换以下内容:

  • ORGANIZATION_ID:您的组织标识符
  • MEMBER:您要向其授予相应角色的用户的电子邮件地址,格式为 example@customer.org

roles/assuredworkloads.admin 角色可创建工作负载环境。

如需详细了解如何使用 IAM 角色授予、更改或撤消对资源的访问权限,请参阅授予、更改和撤消对资源的访问权限

如需详细了解与 Assured Workloads 相关的 IAM 角色,请参阅 IAM 角色

Access Transparency 配置

某些平台控制措施需要 Access Transparency。如需使用这些控制措施,请启用 Access Transparency。如需了解详情,请参阅 Access Transparency 文档

在工作负载环境中创建新文件夹

如需创建新的工作负载环境,请执行以下操作:

  1. 在 Google Cloud Console 中,转到 Assured Workloads 页面。

    转到 Assured Workloads

  2. 在 Cloud Console 工具栏中,点击选择项目,然后选择您的组织。

  3. 点击创建

  4. 创建 Assured Workloads 文件夹步骤中,确保您已满足必要的前提条件,然后点击下一步

  5. 选择管辖区步骤中,从下拉菜单中选择美国管辖区,然后点击下一步

  6. 在用于选择您的文件夹要支持的合规类型的步骤中,选择 IL4CJIS 选项,然后点击下一步

  7. 在用于选择区域的步骤中,选择所需的区域以在 Assured Workloads 环境下部署资源,然后点击下一步

  8. 在用于查看合规性控制的步骤中,确保您了解工作负载的限制条件和控制。此外,请务必查看 IL4 和 CJIS 支持的产品列表。

  9. 点击下一步

  10. 在用于配置文件夹的步骤中,执行以下操作:

    • 为新文件夹提供文件夹名称,例如 aw-example
    • 对于父级资源,请提供文件夹名称或浏览组织的文件夹,以指定已包含在 Assured Workloads 中的父文件夹。
  11. 点击下一步

  12. 在用于配置密钥管理的步骤中,您将为客户管理的加密密钥 CMEK创建新的项目和密钥环。如需详细了解 Assured Workloads 中的密钥管理,请参阅支持密钥管理的合规性

    • 密钥环名称字段中,输入新密钥环的名称。
    • 项目名称字段中,输入要创建的新 CMEK 项目的名称(可选)。如果未指定项目名称,项目名称将自动设置为 cmek-FOLDER_NAME。请勿在项目 ID 中包含敏感数据或个人身份信息 (PII)。
    • 项目 ID 字段中,输入要为加密密钥创建的项目的 ID(可选)。请勿在项目 ID 中包含敏感数据或个人身份信息 (PII)。
    • 选择与您的 Google Cloud 组织关联的结算帐号。
  13. 在最后一步中,查看有关新的 Assured Workloads 环境的详细信息,并确保它们正确无误。然后,点击创建

Assured Workloads 会创建以下资源:

  • Assured Workloads 资源文件夹,用于强制执行您在受支持的 Google Cloud 资源上指定的合规性配置。如需详细了解受支持的服务,请参阅制度所支持的产品
  • 组织政策,用于强制执行资源位置限制条件和支持案例路由。
  • 包含已配置的 CMEK 密钥环的 CMEK 项目。

    如果您使用 CMEK,请参阅创建并获取 CMEK 密钥以了解详情。

后续步骤