Aplica una política de la organización de CMEK

Google Cloud ofrece dos restricciones de políticas de la organización para garantizar el uso de CMEK en una organización:

constraints/gcp.restrictNonCmekServices se usa para requerir protección con CMEK.
constraints/gcp.restrictCmekCryptoKeyProjects se usa para limitar las claves de Filestore que se usan en la protección de CMEK.

Las políticas de la organización de CMEK solo se aplican a los recursos recién creados dentro de los servicios de Google Cloud compatibles.

Para obtener una explicación más detallada de cómo funciona, consulta Jerarquía de recursos de Google Cloud y Políticas de la organización de CMEK.

Controla el uso de CMEK con la política de la organización

Filestore se integra en las restricciones de políticas de la organización de CMEK para que puedas especificar los requisitos de cumplimiento de encriptación para los recursos de Filestore en tu organización.

Esta integración te permite hacer lo siguiente:

Exige CMEK para todos los recursos de Filestore.
Restringe las claves de Cloud KMS que se pueden usar para proteger los recursos en un proyecto.

En las siguientes secciones, se abarcan ambas tareas.

Exige CMEK para todos los recursos de Filestore

Una política común es exigir que se usen CMEK para proteger todos los recursos de una organización. Puedes usar la restricción constraints/gcp.restrictNonCmekServices para aplicar esta política en Filestore.

Si se configura, esta política de la organización causará que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.

Después de establecer esta política, se aplica solo a los recursos nuevos del proyecto. Todos los recursos existentes sin las claves de Cloud KMS establecidas seguirán existiendo y se podrá acceder a ellos sin problemas.

Console

Abre la página Políticas de la organización.

Ir a Políticas de la organización
En el campo Filtro, ingresa constraints/gcp.restrictNonCmekServices y, luego, haz clic en Restringir los servicios que pueden crear recursos sin CMEK.
Haz clic en Administrar política.
Selecciona Personalizar, selecciona Reemplazar y, luego, haz clic en Agregar regla.
Selecciona Personalizado y luego haz clic en Rechazar.
En el campo Valor personalizado, ingresa is:file.googleapis.com.
Haz clic en Listo y, luego, en Establecer política.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    deny gcp.restrictNonCmekServices is:file.googleapis.com

Para verificar que la política se aplique de forma correcta, intenta crear una instancia o copia de seguridad en el proyecto. El proceso falla, a menos que especifiques una clave de Cloud KMS.

Restringe las claves de Cloud KMS para un proyecto de Filestore

Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects para restringir las claves de Cloud KMS que puedes usar a fin de proteger un recurso en un proyecto de Filestore.

Puedes especificar una regla, por ejemplo, “Para todos los recursos de Filestore de projects/my-company-data-project, las claves de Cloud KMS que se usan en este proyecto deben provenir de projects/my-company-central-keys O de proyectos/team-specific-keys”.

Console

Abre la página Políticas de la organización.

Ir a Políticas de la organización
En el campo Filtro, ingresa constraints/gcp.restrictCmekCryptoKeyProjects y, luego, haz clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.
Haz clic en Administrar política.
Selecciona Personalizar, selecciona Reemplazar y, luego, haz clic en Agregar regla.
Selecciona Personalizado y luego haz clic en Permitir.
En el campo Valor personalizado, ingresa lo siguiente:
```
under:projects/KMS_PROJECT_ID
```
Reemplaza lo siguiente:
- KMS_PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar. Por ejemplo, under:projects/my-kms-project
Haz clic en Listo y, luego, en Establecer política.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID

Reemplaza lo siguiente:

KMS_PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar. Por ejemplo, under:projects/my-kms-project

Para verificar que la política se aplique de forma correcta, puedes intentar crear una instancia o una copia de seguridad con una clave de Cloud KMS de otro proyecto. El proceso fallará.

Limitaciones

Las siguientes limitaciones se aplican cuando se configura una política de la organización.

Disponibilidad de CMEK

Recuerda que la compatibilidad con CMEK no está disponible para los niveles de servicio básico de HDD y SSD básico. Dada la forma en que se definen estas restricciones, si aplicas una política de la organización que requiere el uso de CMEK y, luego, intentas crear una instancia de nivel básico o una copia de seguridad en el proyecto asociado, esas operaciones de creación fallan.

Recursos existentes

Los recursos existentes no están sujetos a las políticas de la organización creadas recientemente. Por ejemplo, si creas una política de la organización que requiere que especifiques una CMEK para cada operación create, la política no se aplica de forma retroactiva a las instancias existentes ni a las cadenas de copia de seguridad. Esos recursos siguen siendo accesibles sin una CMEK. Si deseas aplicar la política a recursos existentes, ya sean instancias o cadenas de copia de seguridad, debes reemplazarlos.

Permisos necesarios para establecer una política de la organización

Es posible que sea difícil adquirir permisos para configurar o actualizar la política de la organización con fines de prueba. Debes tener la función de administrador de políticas de la organización, que solo se puede otorgar a nivel de la organización.

Aunque el rol se debe otorgar a nivel de la organización, aún es posible especificar una política que solo se aplique a un proyecto o una carpeta específicos.

Efecto de la rotación de claves de Cloud KMS

Filestore no rota automáticamente la clave de encriptación de un recurso cuando se rota la clave de Cloud KMS asociada a ese recurso.

Todos los datos de las instancias y copias de seguridad existentes siguen protegidos por la versión de clave con la que se crearon.
Las instancias o copias de seguridad recién creadas usan la versión de la clave primaria especificada en el momento de su creación.

Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de manera automática. Para encriptar tus datos con la versión de clave más reciente, debes desencriptar la versión de clave anterior del recurso y, luego, volver a encriptar el mismo recurso con la versión de clave nueva. Además, rotar una clave no inhabilita ni destruye automáticamente ninguna versión de clave existente.

Para obtener instrucciones detalladas sobre cómo realizar cada una de estas tareas, consulta las siguientes guías:

Acceso a Filestore a la clave de Cloud KMS

Se considera que una clave de Cloud KMS está disponible y se puede acceder a ella a través de Filestore en las siguientes condiciones:

La clave está habilitada.
La cuenta de servicio de Filestore tiene permisos de encriptación y desencriptación en la clave.

¿Qué sigue?

Obtén más información sobre cómo encriptar una instancia o copia de seguridad de Filestore
Obtén información sobre CMEK.
Obtén más información sobre la encriptación en tránsito en Google Cloud.
Obtén más información sobre las políticas de la organización.
Obtén información sobre las políticas de la organización de CMEK.