Halaman ini diterjemahkan oleh Cloud Translation API.

Menerapkan kebijakan organisasi CMEK

Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:

constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.
constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci Filestore mana yang digunakan untuk perlindungan CMEK.

Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan Google Cloud yang didukung.

Untuk penjelasan yang lebih mendetail tentang cara kerjanya, lihat Hierarki resource Google Cloud dan Kebijakan organisasi CMEK.

Mengontrol penggunaan CMEK dengan kebijakan organisasi

Filestore terintegrasi dengan batasan kebijakan organisasi CMEK agar Anda dapat menentukan persyaratan kepatuhan enkripsi untuk resource Filestore di organisasi Anda.

Integrasi ini memungkinkan Anda melakukan hal berikut:

Mewajibkan CMEK untuk semua resource Filestore.
Membatasi kunci Cloud KMS mana yang dapat digunakan untuk melindungi resource dalam project.

Bagian berikut membahas kedua tugas ini.

Mewajibkan CMEK untuk semua resource Filestore

Kebijakan umumnya adalah mewajibkan CMEK digunakan untuk melindungi semua resource dalam organisasi. Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices untuk menerapkan kebijakan ini di Filestore.

Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.

Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS akan tetap ada dan dapat diakses tanpa masalah.

Konsol

Buka halaman Kebijakan organisasi.

Buka Organization policies
Di kolom Filter, masukkan constraints/gcp.restrictNonCmekServices, lalu klik Batasi layanan mana yang dapat membuat resource tanpa CMEK.
Klik Manage Policy.
Di halaman Edit policy, pilih Override parent's policy.
Pilih Tambahkan aturan.
Di bagian Policy values, pilih Custom.
Di bagian Jenis kebijakan, pilih Tolak.
Di kolom Custom values, masukkan is:file.googleapis.com.
Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

  name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:file.googleapis.com

Ganti PROJECT_ID dengan project ID project yang ingin Anda gunakan.

Jalankan perintah org-policies set-policy:

  gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau cadangan dalam project. Proses ini akan gagal kecuali jika Anda menentukan kunci Cloud KMS.

Membatasi kunci Cloud KMS untuk project Filestore

Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource dalam project Filestore.

Anda dapat menentukan aturan, misalnya, "Untuk semua resource Filestore dalam projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys ATAU projects/team-specific-keys."

Konsol

Buka halaman Kebijakan organisasi.

Buka Organization policies
Di kolom Filter, masukkan constraints/gcp.restrictCmekCryptoKeyProjects, lalu klik Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK.
Klik Manage Policy.
Di halaman Edit policy, pilih Override parent's policy.
Pilih Tambahkan aturan.
Di bagian Policy values, pilih Custom.
Di bagian Jenis kebijakan, pilih Tolak.
Di kolom Custom values, masukkan hal berikut:
```
under:projects/KMS_PROJECT_ID
```
Ganti KMS_PROJECT_ID dengan project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada.

Misalnya, under:projects/my-kms-project.
Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:
```
  name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID
```
Dengan keterangan:
- PROJECT_ID adalah project ID project yang ingin Anda gunakan.
- KMS_PROJECT_ID adalah project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada.

Jalankan perintah set-policy org-policies:

  gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau cadangan menggunakan kunci Cloud KMS dari project lain. Proses tersebut akan gagal.

Batasan

Batasan berikut berlaku saat menetapkan kebijakan organisasi.

Ketersediaan CMEK

Sebagai pengingat, dukungan CMEK tidak tersedia untuk tingkat layanan HDD dasar dan SSD dasar. Mengingat cara batasan ini ditentukan, jika Anda menerapkan kebijakan organisasi yang mewajibkan penggunaan CMEK, lalu mencoba membuat instance atau pencadangan tingkat dasar dalam project terkait, operasi pembuatan tersebut akan gagal.

Resource yang ada

Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat. Misalnya, jika Anda membuat kebijakan organisasi yang mengharuskan Anda menentukanCMEK untuk setiap operasi create, kebijakan tersebut tidak berlaku secara surut untuk instance dan rantai cadangan yang ada. Resource tersebut masih dapat diakses tanpa CMEK. Jika ingin menerapkan kebijakan ke resource yang ada, baik instance maupun rantai cadangan, Anda harus menggantinya.

Izin yang diperlukan untuk menetapkan kebijakan organisasi

Izin untuk menetapkan atau memperbarui kebijakan organisasi mungkin sulit diperoleh untuk tujuan pengujian. Anda harus diberi peran Administrator Kebijakan Organisasi, yang hanya dapat diberikan di tingkat organisasi.

Meskipun peran ini harus diberikan di tingkat organisasi, Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.

Dampak rotasi kunci Cloud KMS

Filestore tidak otomatis merotasi kunci enkripsi resource saat kunci Cloud KMS yang terkait dengan resource tersebut dirotasi.

Semua data dalam instance dan pencadangan yang ada akan terus dilindungi oleh versi kunci yang digunakan untuk membuat data tersebut.
Setiap instance atau cadangan yang baru dibuat akan menggunakan versi kunci utama yang ditentukan saat pembuatannya.

Saat Anda merotasi kunci, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang. Untuk mengenkripsi data dengan versi kunci terbaru, Anda harus mendekripsi versi kunci lama dari resource, lalu mengenkripsi ulang resource yang sama dengan versi kunci baru. Selain itu, memutar kunci tidak akan otomatis menonaktifkan atau menghancurkan versi kunci yang ada.

Untuk petunjuk mendetail tentang cara melakukan setiap tugas ini, lihat panduan berikut:

Akses Filestore ke kunci Cloud KMS

Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh Filestore dalam kondisi berikut:

Kunci diaktifkan
Akun layanan Filestore telah mengenkripsi dan mendekripsi izin pada kunci

Langkah selanjutnya

Pelajari cara mengenkripsi instance atau pencadangan Filestore.
Pelajari CMEK.
Pelajari enkripsi dalam pengiriman di Google Cloud.
Pelajari kebijakan organisasi.
Pelajari kebijakan organisasi CMEK.