Configurazione di Key Access Justifications con Cloud HSM
Questa pagina descrive come configurare Key Access Justifications con Cloud HSM per Assured Workloads Pacchetto di controllo per le regioni del Giappone.
Durante i passaggi per crea una nuova cartella Assured Workloads per le regioni del Giappone, hai la possibilità di creare un nuovo progetto e un keyring per le tue chiavi di crittografia. Le chiavi Cloud HSM possono essere è stato aggiunto a questo keyring e puoi anche configurare un criterio Key Access Justifications controllare l'accesso a ogni chiave.
Prima di iniziare
- La possibilità di utilizzare Key Access Justifications con le chiavi Cloud HSM è disponibile solo per il pacchetto di controllo per le regioni del Giappone in Assured Workloads.
- Assicurati che l'amministratore ti abbia concesso uno dei Ruoli IAM (Identity and Access Management) per creare e gestire i criteri Key Access Justifications e le stesse chiavi Cloud HSM.
Autorizzazioni IAM richieste
Per ottenere le autorizzazioni necessarie per creare e gestire le chiavi Cloud HSM e i relativi criteri Key Access Justifications,
chiedi all'amministratore di concederti
Ruolo IAM Amministratore Cloud KMS (roles/cloudkms.admin
) nel progetto contenente il keyring.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire le chiavi Cloud HSM e i relativi criteri Key Access Justifications. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare e gestire le chiavi Cloud HSM e i relativi criteri Key Access Justifications sono necessarie le seguenti autorizzazioni:
-
cloudkms.cryptoKeys.create
-
cloudkms.cryptoKeys.update
-
cloudkms.cryptoKeys.get
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.
Configurazione di una chiave Cloud HSM con Key Access Justifications
Per configurare Key Access Justifications con una chiave Cloud HSM, puoi includere il valore criterio di accesso alla chiave come parametro quando crei la chiave. In alternativa, puoi aggiornare il con il criterio dopo la creazione della chiave.
Crea una nuova chiave e un nuovo criterio
REST
Crea una nuova chiave e un nuovo criterio utilizzando
cryptoKeys.create
:
POST https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys?crypto_key_id=KEY_NAME
Nella richiesta, sostituisci i seguenti valori segnaposto:
- PROJECT_ID: l'ID progetto che contiene il keyring su cui
vuoi aggiungere una chiave, ad esempio
919698201234
. - LOCATION: la posizione del keyring, ad esempio
us-west1
. - KEY_RING: il nome del keyring specificato durante
hai creato il progetto di gestione delle chiavi della tua cartella Assured Workloads
e keyring, ad esempio
my-key-ring
. - KEY_NAME: il nome della chiave HSM che vuoi creare, per
ad esempio
my-hsm-key
.
Corpo della richiesta:
{ "purpose": "PURPOSE", "versionTemplate": { "protectionLevel": "HSM", "algorithm": "ALGORITHM" }, "keyAccessJustificationsPolicy": { "allowedAccessReasons": [ ALLOWED_ACCESS_REASONS ] } }
Nel corpo della richiesta, sostituisci i seguenti valori segnaposto:
- PURPOSE: lo scopo della chiave. Per un elenco di chiavi diverse
per gli scopi, vedi
Scopi chiave, ad esempio
ENCRYPT_DECRYPT
. - ALGORITHM: l'algoritmo crittografico da utilizzare. Per un elenco di
gli algoritmi disponibili, vedi
Algoritmi di Cloud KMS, ad esempio
GOOGLE_SYMMETRIC_ENCRYPTION
. - ALLOWED_ACCESS_REASONS: il criterio Key Access Justifications che definisce zero
o più consentiti
codici di giustificazione
per accedere alla chiave di crittografia, ad esempio
CUSTOMER_INITIATED_ACCESS
.
L'esempio seguente di richiesta e corpo della richiesta consente solo l'accesso più giustificabili per vari motivi:
POST https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys?crypto_key_id=my-hsm-key
{ "purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "HSM", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "keyAccessJustificationsPolicy": { "allowedAccessReasons": [ "CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION" ] } }
Aggiorna il criterio di una chiave esistente
REST
Aggiorna una chiave esistente in Cloud KMS utilizzando
cryptoKeys.patch
:
PATCH https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME?update_mask=keyAccessJustificationsPolicy
Nella richiesta, sostituisci i seguenti valori segnaposto:
- PROJECT_ID: l'ID del progetto che contiene la chiave
per la chiave, ad esempio
919698201234
. - LOCATION: la posizione del keyring, ad esempio
us-west1
. - KEY_RING: il nome del keyring specificato durante
hai creato il progetto di gestione delle chiavi della tua cartella Assured Workloads
e keyring, ad esempio
my-key-ring
. - KEY_NAME: il nome della chiave HSM da aggiornare per
ad esempio
my-hsm-key
.
Corpo della richiesta:
{ "purpose": "PURPOSE", "versionTemplate": { "protectionLevel": "HSM", "algorithm": "ALGORITHM" }, "keyAccessJustificationsPolicy": { "allowedAccessReasons": [ ALLOWED_ACCESS_REASONS ] } }
Nel corpo della richiesta, sostituisci i seguenti valori segnaposto:
- PURPOSE: lo scopo della chiave. Per un elenco di chiavi diverse
per gli scopi, vedi
Scopi chiave, ad esempio
ENCRYPT_DECRYPT
. - ALGORITHM: l'algoritmo crittografico da utilizzare. Per un elenco di
gli algoritmi disponibili, vedi
Algoritmi di Cloud KMS, ad esempio
GOOGLE_SYMMETRIC_ENCRYPTION
. - ALLOWED_ACCESS_REASONS: il criterio Key Access Justifications che definisce zero
o più consentiti
codici di giustificazione
per accedere alla chiave di crittografia, ad esempio
CUSTOMER_INITIATED_ACCESS
.
L'esempio seguente di richiesta e corpo della richiesta consente solo l'accesso più giustificabili per vari motivi:
PATCH https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key?keyAccessJustificationsPolicy
{ "purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "HSM", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "keyAccessJustificationsPolicy": { "allowedAccessReasons": [ "CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION" ] } }
Recupero del criterio Key Access Justifications per una chiave
REST
Recupera i metadati su una chiave esistente in Cloud KMS utilizzando il metodo
cryptoKeys.get
:
GET https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/keyRings/KEY_RING/cryptoKeys/KEY_NAME
Nei parametri della richiesta, sostituisci i seguenti valori segnaposto con proprio:
- PROJECT_ID: l'ID progetto che contiene il keyring per la
ad esempio
919698201234
. - LOCATION: la posizione del keyring, ad esempio
us-west1
. - KEY_RING: il nome del keyring specificato durante
hai creato il progetto di gestione delle chiavi della tua cartella Assured Workloads
e keyring, ad esempio
my-key-ring
. - KEY_NAME: il nome della chiave HSM che vuoi ottenere per
ad esempio
my-hsm-key
.
La seguente richiesta di esempio recupera i metadati relativi a una chiave in Cloud KMS:
GET https://cloudkms.googleapis.com/v1/projects/919698201234/locations/us-west1/keyRings/my-key-ring/cryptoKeys/my-hsm-key
Il corpo della risposta contiene i metadati sulla chiave, inclusi i campi
keyAccessJustificationsPolicy
Ad esempio:
{ "purpose": "ENCRYPT_DECRYPT", "versionTemplate": { "protectionLevel": "HSM", "algorithm": "GOOGLE_SYMMETRIC_ENCRYPTION" }, "keyAccessJustificationsPolicy": { "allowedAccessReasons": [ "CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION" ] } }