Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um den CMEK sicherzustellen Nutzung in einer Organisation:
- Mit
constraints/gcp.restrictNonCmekServices
wird ein CMEK erforderlich zu schützen. - Mit
constraints/gcp.restrictCmekCryptoKeyProjects
können Sie begrenzen, Filestore-Schlüssel werden für den CMEK-Schutz verwendet.
CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.
Eine ausführlichere Erläuterung dazu finden Sie unter Google Cloud-Ressourcenhierarchie und CMEK-Organisationsrichtlinien.
CMEK-Nutzung mit Organisationsrichtlinie steuern
Filestore lässt sich in CMEK einbinden Einschränkungen für Organisationsrichtlinien damit Sie Compliance-Anforderungen für die Verschlüsselung Filestore-Ressourcen in Ihrer Organisation.
Durch diese Einbindung haben Sie folgende Möglichkeiten:
In den folgenden Abschnitten werden diese beiden Aufgaben behandelt.
CMEKs für alle Filestore-Ressourcen verlangen
Eine gängige Richtlinie ist, dass CMEKs zum Schutz aller Ressourcen in einem
Unternehmen. Sie können die constraints/gcp.restrictNonCmekServices
verwenden
Einschränkung, um diese Richtlinie in Filestore zu erzwingen.
Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.
Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.
Console
Öffnen Sie die Seite Organisationsrichtlinien.
Geben Sie im Feld Filter
constraints/gcp.restrictNonCmekServices
ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.Klicken Sie auf
Richtlinie verwalten.Wählen Sie Anpassen, Ersetzen und dann Regel hinzufügen aus.
Wählen Sie Benutzerdefiniert aus und klicken Sie dann auf Ablehnen.
Geben Sie im Feld Benutzerdefinierter Wert
is:file.googleapis.com
ein.Klicken Sie auf Fertig und dann auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ deny gcp.restrictNonCmekServices is:file.googleapis.com
Um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, einen Instanz oder Sicherung im Projekt erstellen. Der Vorgang schlägt fehl, sofern Sie kein Cloud KMS-Schlüssel.
Cloud KMS-Schlüssel für ein Filestore-Projekt einschränken
Mit der Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects
können Sie
Schränken Sie die Cloud KMS-Schlüssel ein, mit denen Sie eine Ressource in einem
Filestore-Projekt.
Sie können eine Regel angeben, z. B. "Für alle Filestore Ressourcen in projects/my-company-data-project, Cloud KMS-Schlüssel, die in verwendet werden Dieses Projekt muss aus projects/my-company-central-keys stammen ODER projekt-/teamspezifische Schlüssel“.
Console
Öffnen Sie die Seite Organisationsrichtlinien.
Geben Sie im Feld Filter
constraints/gcp.restrictCmekCryptoKeyProjects
ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.Klicken Sie auf
Richtlinie verwalten.Wählen Sie Anpassen, Ersetzen und dann Regel hinzufügen aus.
Wählen Sie Benutzerdefiniert und klicken Sie dann auf Zulassen.
Geben Sie im Feld Benutzerdefinierter Wert Folgendes ein:
under:projects/KMS_PROJECT_ID
Ersetzen Sie Folgendes:
- KMS_PROJECT_ID durch die ID des Projekts, in dem der Cloud KMS
Schlüssel befinden, die Sie verwenden möchten. Beispiel:
under:projects/my-kms-project
- KMS_PROJECT_ID durch die ID des Projekts, in dem der Cloud KMS
Schlüssel befinden, die Sie verwenden möchten. Beispiel:
Klicken Sie auf Fertig und dann auf Richtlinie festlegen.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID
Ersetzen Sie Folgendes:
- KMS_PROJECT_ID durch die ID des Projekts, in dem der Cloud KMS
Schlüssel befinden, die Sie verwenden möchten. Beispiel:
under:projects/my-kms-project
Um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, einen Instanz oder Sicherung mit einem Cloud KMS-Schlüssel aus einem anderen Projekt erstellen. Die schlägt fehl.
Beschränkungen
Beim Festlegen einer Organisationsrichtlinie gelten die folgenden Einschränkungen.
CMEK-Verfügbarkeit
Zur Erinnerung: CMEK-Unterstützung ist für einfache HDDs und Basis-SSDs nicht verfügbar Dienstleistungsvarianten Angesichts der Definition dieser Einschränkungen Organisationsrichtlinie, die die Verwendung eines CMEK erfordert, und versuchen Sie dann, einen Basis-Stufen-Instanz oder Sicherung im zugehörigen Projekt erstellen, erstellen Vorgänge scheitern.
Vorhandene Ressourcen
Vorhandene Ressourcen unterliegen nicht neu erstellten Organisationsrichtlinien.
Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, die die Angabe eines
CMEK für jeden create
-Vorgang, die Richtlinie gilt nicht rückwirkend für
vorhandenen Instanzen und Sicherungsketten. Diese Ressourcen sind weiterhin zugänglich
ohne CMEK. Wenn Sie die Richtlinie auf vorhandene Ressourcen anwenden möchten,
Instanzen oder Sicherungsketten müssen Sie sie ersetzen.
Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie
Die Berechtigung zum Festlegen oder Aktualisieren der Organisationsrichtlinie kann zu Testzwecken schwierig besorgbar sein. Ihnen muss die Berechtigung Rolle „Administrator für Unternehmensrichtlinien“ was nur auf Organisationsebene gewährt werden kann.
Die Rolle muss zwar auf Organisationsebene zugewiesen werden, es ist jedoch weiterhin möglich, eine Richtlinie anzugeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.
Auswirkung der Cloud KMS-Schlüsselrotation
Filestore rotiert den Verschlüsselungsschlüssel einer Ressource nicht automatisch Der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel wird rotiert.
Alle Daten in bestehenden Instanzen und Sicherungen werden weiterhin durch die Schlüsselversion, mit der sie erstellt wurden.
Alle neu erstellten Instanzen oder Sicherungen verwenden die angegebene Primärschlüsselversion. zum Zeitpunkt ihrer Erstellung.
Wenn Sie einen Schlüssel rotieren, werden Daten, die mit vorherigen Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. So verschlüsseln Sie Ihre Daten mit der neuesten Schlüsselversion: müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und den Schlüssel Ressource mit der neuen Schlüsselversion. Außerdem ist das Rotieren eines Schlüssels vorhandene Schlüsselversionen automatisch deaktivieren oder löschen.
Ausführliche Anweisungen zur Durchführung der einzelnen Aufgaben erhalten Sie in der folgenden Anleitungen:
- Schlüssel rotieren
- Daten entschlüsseln und neu verschlüsseln
- Schlüsselversionen aktivieren und deaktivieren
- Schlüsselversionen löschen und wiederherstellen
Filestore-Zugriff auf den Cloud KMS-Schlüssel
Ein Cloud KMS-Schlüssel gilt als verfügbar und zugänglich Filestore unter den folgenden Bedingungen:
- Wenn der Schlüssel aktiviert ist
- Das Filestore-Dienstkonto hat Ver- und Entschlüsselungs- Berechtigungen für den Schlüssel
Nächste Schritte
- Hier erfahren Sie, wie Sie eine Filestore-Instanz oder -Sicherung verschlüsseln.
- CMEK
- Weitere Informationen zur Verschlüsselung bei der Übertragung zu Google Cloud
- Weitere Informationen zu Organisationsrichtlinien
- Informationen zu CMEK-Organisationsrichtlinien.