Defina a política de justificação de acesso a chaves predefinida
Esta página mostra como configurar políticas de Justificações de acesso a chaves predefinidas para o Assured Workloads. Pode definir uma política de Justificações de acesso às chaves predefinida para uma organização, uma pasta ou um projeto. A política de Justificações de acesso às chaves predefinida é aplicada automaticamente às novas chaves criadas nesse recurso, a menos que seja definida uma política de Justificações de acesso às chaves na chave quando esta é criada. As políticas de justificação de acesso a chaves predefinidas não são aplicadas às chaves existentes.
Antes de começar
- A capacidade de definir políticas de Justificações de acesso a chaves predefinidas para chaves do Cloud KMS só está disponível para o pacote de controlos das regiões do Japão no Assured Workloads.
Autorizações de IAM necessárias
Para obter as autorizações de que precisa para criar e gerir políticas de Justificações de acesso às chaves predefinidas, peça ao seu administrador que lhe conceda a função de IAM Administrador de configuração da política de Justificações de acesso às chaves (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) na organização, na pasta ou no projeto que contém a chave.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para criar e gerir políticas de Justificações de acesso a chaves predefinidas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para criar e gerir políticas de Justificações de acesso às chaves predefinidas:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Configure uma política de justificações de acesso às chaves predefinida
REST
Crie ou atualize uma política de Justificações de acesso às chaves predefinida numa organização
através do método
organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
ORGANIZATION_ID: o ID da organização para a qual quer definir a política de Justificações de acesso às chaves predefinida.POLICY: a lista de políticas de justificações de acesso às chaves permitidasallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Crie ou atualize uma política de justificação de acesso a chaves predefinida numa pasta através do método
folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
FOLDER_ID: o ID da pasta para a qual quer definir a política de justificações de acesso às chaves predefinida.POLICY: a lista de políticas de justificações de acesso às chaves permitidasallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Crie ou atualize uma política de justificação de acesso com chave predefinida num projeto através do método
projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
PROJECT_ID: o ID do projeto para o qual quer definir a política de justificação de acesso a chaves predefinida.POLICY: a lista de políticas de justificações de acesso às chaves permitidasallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Obtenha uma política de justificação de acesso a chaves predefinida
REST
Obtenha metadados sobre a política de justificação de acesso à chave predefinida existente numa organização através do método organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Substitua ORGANIZATION_ID pelo ID da organização para a qual quer obter a política de Justificações de acesso às chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha metadados sobre a política de justificação de acesso à chave predefinida existente numa pasta através do método folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Substitua FOLDER_ID pelo ID da pasta para a qual quer obter a política de Justificações de acesso a chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha metadados sobre a política de Justificações de acesso às chaves predefinida existente num projeto através do método projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual quer obter a política de Justificações de acesso às chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha a política de justificação de acesso a chaves predefinida em vigor num projeto
Os projetos herdam a política predefinida do seu antepassado mais próximo. Se existirem várias políticas predefinidas definidas em antecessores de um único projeto, pode obter a política efetiva para o projeto para ver a política que é aplicada às novas chaves do Cloud KMS criadas nesse projeto.
REST
Obtenha metadados sobre a política de Justificações de acesso à chave predefinida eficaz num projeto através do método projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual quer obter a política de Justificações de acesso a chaves predefinida eficaz.
A resposta é semelhante à seguinte:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}