O Google Cloud oferece duas restrições de política da organização para garantir o uso de CMEK em uma organização:
constraints/gcp.restrictNonCmekServices
é usado para exigir a proteção da CMEK.constraints/gcp.restrictCmekCryptoKeyProjects
é usado para limitar quais chaves do Filestore são usadas para proteção de CMEK.
As políticas da organização de CMEK se aplicam apenas a recursos recém-criados nos serviços compatíveis do Google Cloud.
Para uma explicação mais detalhada de como isso funciona, consulte Hierarquia de recursos do Google Cloud e Políticas da organização de CMEK.
Controlar o uso de CMEK com a política da organização
O Filestore se integra às restrições da política da organização de CMEKs para permitir que você especifique requisitos de conformidade de criptografia para recursos do Filestore na sua organização.
Com essa integração, é possível:
As seções a seguir abrangem as duas tarefas.
Exigir CMEKs para todos os recursos do Filestore
Uma política comum é exigir que as CMEKs sejam usadas para proteger todos os recursos de uma
organização. Use a restrição constraints/gcp.restrictNonCmekServices
para aplicar essa política no Filestore.
Se definida, essa política da organização faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.
Após definir essa política, ela será aplicada somente a novos recursos no projeto. Os recursos atuais sem as chaves do Cloud KMS definidas continuam existindo e podem ser acessados sem problemas.
Console
Abra a página Políticas da organização.
No campo Filtro, insira
constraints/gcp.restrictNonCmekServices
e clique em Restringir quais serviços podem criar recursos sem CMEK.Clique em
Gerenciar política.Selecione Personalizar, Substituir e clique em Adicionar regra.
Selecione Personalizar e clique em Negar.
No campo Valor personalizado, insira
is:file.googleapis.com
.Clique em Concluído e em Definir política.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ deny gcp.restrictNonCmekServices is:file.googleapis.com
Para verificar se a política foi aplicada com êxito, tente criar uma instância ou backup no projeto. O processo falhará a menos que você especifique uma chave do Cloud KMS.
Restringir as chaves do Cloud KMS para um projeto do Filestore
É possível usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects
para
restringir as chaves do Cloud KMS que podem ser usadas para proteger um recurso em um
projeto do Filestore.
É possível especificar uma regra, por exemplo, "Para todos os recursos do Filestore em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto precisam vir de projects/my-company-central-keys OU projects/team-specific-keys".
Console
Abra a página Políticas da organização.
No campo Filtro, insira
constraints/gcp.restrictCmekCryptoKeyProjects
e clique em Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK.Clique em
Gerenciar política.Selecione Personalizar, Substituir e clique em Adicionar regra.
Selecione Personalizar e clique em Permitir.
No campo Valor personalizado, insira o seguinte:
under:projects/KMS_PROJECT_ID
Substitua:
- KMS_PROJECT_ID pelo ID do projeto em que estão localizadas as chaves do Cloud KMS que você quer usar. Por exemplo,
under:projects/my-kms-project
.
- KMS_PROJECT_ID pelo ID do projeto em que estão localizadas as chaves do Cloud KMS que você quer usar. Por exemplo,
Clique em Concluído e em Definir política.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID
Substitua:
- KMS_PROJECT_ID pelo ID do projeto em que estão localizadas as chaves do Cloud KMS que você quer usar. Por exemplo,
under:projects/my-kms-project
.
Para verificar se a política foi aplicada com êxito, tente criar uma instância ou backup usando uma chave do Cloud KMS de um projeto diferente. O processo falhará.
Limitações
As limitações a seguir se aplicam ao definir uma política da organização.
Disponibilidade da CMEK
Como lembrete, o suporte para CMEK não está disponível para os níveis de serviço HDD básico e SSD básico. Dada a forma como essas restrições são definidas, se você aplicar uma política da organização que exija o uso de CMEK e tentar criar uma instância ou backup de nível básico no projeto associado, essas operações de criação falharão.
Recursos atuais
Os recursos atuais não estão sujeitos a políticas recém-criadas da organização.
Por exemplo, se você criar uma política da organização que exija a especificação de uma
CMEK para cada operação create
, a política não se aplicará retroativamente
às instâncias e cadeias de backup atuais. Esses recursos ainda podem ser acessados
sem uma CMEK. Se você quiser aplicar a política aos recursos atuais, sejam
instâncias ou cadeias de backup, substitua-os.
Permissões necessárias para definir uma política da organização
Pode ser difícil obter a permissão para definir ou atualizar a política da organização para fins de teste. É preciso ter o papel de administrador de políticas da organização, que só pode ser concedido no nível da organização.
Embora o papel precise ser concedido no nível da organização, ainda é possível especificar uma política que se aplica apenas a um projeto ou pasta específicos.
Impacto do rodízio de chaves do Cloud KMS
O Filestore não faz a rotação automática da chave de criptografia de um recurso quando a chave do Cloud KMS associada a esse recurso é rotacionada.
Todos os dados em instâncias e backups atuais continuam protegidos pela versão da chave com que foram criados.
Todas as instâncias ou backups recém-criados usam a versão da chave primária especificada no momento da criação.
Quando você faz a rotação de uma chave, os dados que foram criptografados com versões anteriores da chave não são recriptografados automaticamente. Para criptografar seus dados com a versão mais recente da chave, é necessário descriptografar a versão antiga do recurso e recriptografar o mesmo recurso com a nova versão da chave. Além disso, a rotação de uma chave não desativa nem destrói automaticamente versões de chave atuais.
Para instruções detalhadas sobre como executar cada uma dessas tarefas, consulte estes guias:
- Alternar uma chave
- Descriptografar e recriptografar dados
- Ativar e desativar versões de chave
- Destruir e restaurar versões de chave
Acesso do Filestore à chave do Cloud KMS
Uma chave do Cloud KMS é considerada disponível e acessível pelo Filestore nas seguintes condições:
- a chave está ativada
- A conta de serviço do Filestore criptografa e descriptografa permissões na chave
A seguir
- Aprenda a criptografar uma instância ou um backup do Filestore.
- Saiba mais sobre CMEK.
- Saiba mais sobre criptografia em trânsito no Google Cloud.
- Saiba mais sobre as políticas da organização.
- Saiba mais sobre as políticas da organização de CMEK.