CMEK-Organisationsrichtlinie anwenden

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, die die CMEK-Nutzung in einer Organisation gewährleisten:

  • Mit constraints/gcp.restrictNonCmekServices wird ein CMEK erforderlich zu schützen.
  • Mit constraints/gcp.restrictCmekCryptoKeyProjects wird eingeschränkt, welche Filestore-Schlüssel für den CMEK-Schutz verwendet werden.

CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.

Eine ausführlichere Erläuterung dazu finden Sie unter Google Cloud-Ressourcenhierarchie und CMEK-Organisationsrichtlinien.

CMEK-Nutzung mit Organisationsrichtlinie steuern

Filestore lässt sich in CMEK einbinden Einschränkungen für Organisationsrichtlinien damit Sie Compliance-Anforderungen für die Verschlüsselung Filestore-Ressourcen in Ihrer Organisation.

Durch diese Einbindung haben Sie folgende Möglichkeiten:

In den folgenden Abschnitten werden beide Aufgaben behandelt.

CMEKs für alle Filestore-Ressourcen verlangen

Eine gängige Richtlinie ist, dass CMEKs zum Schutz aller Ressourcen in einem Unternehmen. Mit der constraints/gcp.restrictNonCmekServices-Einschränkung können Sie diese Richtlinie in Filestore erzwingen.

Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.

Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictNonCmekServices ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.

  3. Klicken Sie auf  Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte den Wert is:file.googleapis.com ein.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
      spec:
        rules:
        - values:
            deniedValues:
            - is:file.googleapis.com
    

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie verwenden möchten. verwenden.

  2. Führen Sie den Befehl org-policies set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml
    

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, eine Instanz oder ein Back-up im Projekt zu erstellen. Der Vorgang schlägt fehl, sofern Sie kein Cloud KMS-Schlüssel.

Cloud KMS-Schlüssel für ein Filestore-Projekt einschränken

Mit der Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects können Sie Schränken Sie die Cloud KMS-Schlüssel ein, mit denen Sie eine Ressource in einem Filestore-Projekt.

Sie können eine Regel angeben, z. B. „Für alle Filestore-Ressourcen in projects/my-company-data-project müssen die in diesem Projekt verwendeten Cloud KMS-Schlüssel von projects/my-company-central-keys ODER projects/team-specific-keys stammen“.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictCmekCryptoKeyProjects ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.

  3. Klicken Sie auf Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte Folgendes ein:

    under:projects/KMS_PROJECT_ID
    

    Ersetzen Sie KMS_PROJECT_ID durch die Projekt-ID, in der sich die zu verwendenden Cloud KMS-Schlüssel befinden.

    Beispiel: under:projects/my-kms-project.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
      spec:
        rules:
        - values:
            allowedValues:
            - under:projects/KMS_PROJECT_ID
    

    Wobei:

    • PROJECT_ID ist die Projekt-ID des Projekts, das Sie erstellen möchten. verwenden.
    • KMS_PROJECT_ID ist die Projekt-ID, unter der sich die zu verwendenden Cloud KMS-Schlüssel befinden.
  2. Führen Sie den Befehl „org-policies set-policy“ aus:

      gcloud org-policies set-policy /tmp/policy.yaml
    

Sie können versuchen, eine Instanz oder Sicherung mit einem Cloud KMS-Schlüssel aus einem anderen Projekt zu erstellen, um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde. Der Vorgang schlägt fehl.

Beschränkungen

Beim Festlegen einer Organisationsrichtlinie gelten die folgenden Einschränkungen.

CMEK-Verfügbarkeit

Zur Erinnerung: CMEK-Unterstützung ist für einfache HDDs und Basis-SSDs nicht verfügbar Dienstleistungsvarianten Angesichts der Definition dieser Einschränkungen Organisationsrichtlinie, die die Verwendung eines CMEK erfordert, und versuchen Sie dann, einen Basis-Stufen-Instanz oder Sicherung im zugehörigen Projekt erstellen, erstellen Vorgänge scheitern.

Vorhandene Ressourcen

Vorhandene Ressourcen unterliegen nicht neu erstellten Organisationsrichtlinien. Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, die für jeden create-Vorgang die Angabe eines CMEK erfordert, wird die Richtlinie nicht rückwirkend auf vorhandene Instanzen und Sicherungsketten angewendet. Diese Ressourcen sind weiterhin zugänglich ohne CMEK. Wenn Sie die Richtlinie auf vorhandene Ressourcen anwenden möchten, z. B. auf Instanzen oder Sicherungsketten, müssen Sie sie ersetzen.

Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie

Die Berechtigung zum Festlegen oder Aktualisieren der Organisationsrichtlinie kann zu Testzwecken schwierig besorgbar sein. Ihnen muss die Berechtigung Rolle „Administrator für Unternehmensrichtlinien“ was nur auf Organisationsebene gewährt werden kann.

Die Rolle muss zwar auf Organisationsebene zugewiesen werden, es ist jedoch weiterhin möglich, eine Richtlinie anzugeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.

Auswirkung der Cloud KMS-Schlüsselrotation

In Filestore wird der Verschlüsselungsschlüssel einer Ressource nicht automatisch rotiert, wenn der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel rotiert wird.

  • Alle Daten in bestehenden Instanzen und Sicherungen werden weiterhin durch die Schlüsselversion, mit der sie erstellt wurden.

  • Alle neu erstellten Instanzen oder Sicherungen verwenden die angegebene Primärschlüsselversion. zum Zeitpunkt ihrer Erstellung.

Wenn Sie einen Schlüssel rotieren, werden Daten, die mit vorherigen Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Wenn Sie Ihre Daten mit der neuesten Schlüsselversion verschlüsseln möchten, müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und die Ressource dann mit der neuen Schlüsselversion neu verschlüsseln. Außerdem werden durch das Rotieren eines Schlüssels vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.

Ausführliche Anweisungen zur Durchführung der einzelnen Aufgaben erhalten Sie in der folgenden Anleitungen:

Filestore-Zugriff auf den Cloud KMS-Schlüssel

Ein Cloud KMS-Schlüssel gilt unter folgenden Voraussetzungen als verfügbar und für Filestore zugänglich:

  • Wenn der Schlüssel aktiviert ist
  • Das Filestore-Dienstkonto hat für den Schlüssel Berechtigungen zum Ver- und Entschlüsseln.

Nächste Schritte