CMEK-Organisationsrichtlinie anwenden

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung in einer Organisation sicherzustellen:

Mit constraints/gcp.restrictNonCmekServices wird der CMEK-Schutz angefordert.
Mit constraints/gcp.restrictCmekCryptoKeyProjects wird eingeschränkt, welche Filestore-Schlüssel für den CMEK-Schutz verwendet werden.

CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.

Eine ausführlichere Erläuterung finden Sie unter Google Cloud-Ressourcenhierarchie und CMEK-Organisationsrichtlinien.

CMEK-Nutzung mit Organisationsrichtlinie steuern

Filestore ist in die CMEK-Einschränkungen für Organisationsrichtlinien eingebunden, damit Sie Complianceanforderungen für die Verschlüsselung von Filestore-Ressourcen in Ihrer Organisation festlegen können.

Durch diese Einbindung haben Sie folgende Möglichkeiten:

CMEKs für alle Filestore-Ressourcen verlangen.
Beschränken, welche Cloud KMS-Schlüssel zum Schutz von Ressourcen in einem Projekt verwendet werden können.

In den folgenden Abschnitten werden diese beiden Aufgaben behandelt.

CMEKs für alle Filestore-Ressourcen verlangen

Eine gängige Richtlinie besagt, dass zum Schutz aller Ressourcen in einer Organisation CMEKs verwendet werden müssen. Sie können die Einschränkung constraints/gcp.restrictNonCmekServices verwenden, um diese Richtlinie in Filestore zu erzwingen.

Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.

Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.

Console

Öffnen Sie die Seite Organisationsrichtlinien.

Zu den Organisationsrichtlinien
Geben Sie im Feld Filter constraints/gcp.restrictNonCmekServices ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.
Klicken Sie auf Richtlinie verwalten.
Wählen Sie Anpassen, Ersetzen und dann Regel hinzufügen aus.
Wählen Sie Benutzerdefiniert aus und klicken Sie dann auf Ablehnen.
Geben Sie im Feld Benutzerdefinierter Wert den Wert is:file.googleapis.com ein.
Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    deny gcp.restrictNonCmekServices is:file.googleapis.com

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, eine Instanz oder Sicherung im Projekt zu erstellen. Der Vorgang schlägt fehl, wenn Sie keinen Cloud KMS-Schlüssel angeben.

Cloud KMS-Schlüssel für ein Filestore-Projekt einschränken

Mit der Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects können Sie die Cloud KMS-Schlüssel einschränken, mit denen Sie eine Ressource in einem Filestore-Projekt schützen können.

Sie können eine Regel angeben, z. B.: „Für alle Filestore-Ressourcen in „projects/my-company-data-project“ müssen die in diesem Projekt verwendeten Cloud KMS-Schlüssel aus „projects/my-company-central-keys“ ODER „projects/team-specific-keys“ stammen“).

Console

Öffnen Sie die Seite Organisationsrichtlinien.

Zu den Organisationsrichtlinien
Geben Sie im Feld Filter constraints/gcp.restrictCmekCryptoKeyProjects ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.
Klicken Sie auf Richtlinie verwalten.
Wählen Sie Anpassen, Ersetzen und dann Regel hinzufügen aus.
Wählen Sie Benutzerdefiniert und klicken Sie dann auf Zulassen.
Geben Sie im Feld Benutzerdefinierter Wert Folgendes ein:
```
under:projects/KMS_PROJECT_ID
```
Ersetzen Sie Folgendes:
- KMS_PROJECT_ID durch die ID des Projekts, in dem sich die Cloud KMS-Schlüssel, die Sie verwenden möchten, befinden. Beispiel: under:projects/my-kms-project
Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  gcloud resource-manager org-policies --project=PROJECT_ID \
    allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID

Ersetzen Sie Folgendes:

KMS_PROJECT_ID durch die ID des Projekts, in dem sich die Cloud KMS-Schlüssel, die Sie verwenden möchten, befinden. Beispiel: under:projects/my-kms-project

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, mit einem Cloud KMS-Schlüssel aus einem anderen Projekt eine Instanz oder Sicherung zu erstellen. Der Vorgang schlägt fehl.

Beschränkungen

Beim Festlegen einer Organisationsrichtlinie gelten die folgenden Einschränkungen.

CMEK-Verfügbarkeit

Zur Erinnerung: CMEK-Unterstützung ist für die Basis-HDD- und Basis-SSD-Dienststufen nicht verfügbar. Wenn Sie aufgrund der Definition dieser Einschränkungen eine Organisationsrichtlinie anwenden, die die Verwendung eines CMEK erfordert, und dann versuchen, eine Instanz oder Sicherung der Basisstufe im zugehörigen Projekt zu erstellen, schlagen diese Erstellungsvorgänge fehl.

Vorhandene Ressourcen

Vorhandene Ressourcen unterliegen nicht den neu erstellten Organisationsrichtlinien. Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, bei der für jeden create-Vorgang ein CMEK angegeben werden muss, gilt die Richtlinie nicht rückwirkend für vorhandene Instanzen und Sicherungsketten. Auf diese Ressourcen kann auch ohne CMEK zugegriffen werden. Wenn Sie die Richtlinie auf vorhandene Ressourcen – ob Instanzen oder Sicherungsketten – anwenden möchten, müssen Sie diese ersetzen.

Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie

Die Berechtigung zum Festlegen oder Aktualisieren der Organisationsrichtlinie kann zu Testzwecken schwierig besorgbar sein. Sie müssen die Rolle „Administrator für Organisationsrichtlinien“ haben, die nur auf Organisationsebene gewährt werden kann.

Die Rolle muss zwar auf Organisationsebene zugewiesen werden, es ist jedoch weiterhin möglich, eine Richtlinie anzugeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.

Auswirkung der Cloud KMS-Schlüsselrotation

Filestore rotiert den Verschlüsselungsschlüssel einer Ressource nicht automatisch, wenn der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel rotiert wird.

Alle Daten in vorhandenen Instanzen und Sicherungen sind weiterhin durch die Schlüsselversion geschützt, mit der sie erstellt wurden.
Alle neu erstellten Instanzen oder Sicherungen verwenden die Primärschlüsselversion, die zum Zeitpunkt der Erstellung angegeben wurde.

Wenn Sie einen Schlüssel rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Um Ihre Daten mit der neuesten Schlüsselversion zu verschlüsseln, müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und dann dieselbe Ressource mit der neuen Schlüsselversion neu verschlüsseln. Außerdem werden durch das Rotieren eines Schlüssels vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.

Ausführliche Anleitungen zum Ausführen dieser Aufgaben finden Sie in den folgenden Leitfäden:

Filestore-Zugriff auf den Cloud KMS-Schlüssel

Ein Cloud KMS-Schlüssel gilt unter folgenden Bedingungen als verfügbar und zugänglich von Filestore:

Wenn der Schlüssel aktiviert ist
Das Filestore-Dienstkonto hat Berechtigungen zum Verschlüsseln und Entschlüsseln des Schlüssels.

Nächste Schritte

Informationen zum Verschlüsseln einer Filestore-Instanz oder -Sicherung
Informationen zu CMEK
Weitere Informationen zur Verschlüsselung bei der Übertragung zu Google Cloud
Informationen zu Organisationsrichtlinien
Weitere Informationen zu CMEK-Organisationsrichtlinien.