Google Cloud offre due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in tutta l'organizzazione:
constraints/gcp.restrictNonCmekServicesviene utilizzato per richiedere la protezione tramite CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsviene utilizzato per limitare le chiavi Filestore utilizzate per la protezione CMEK.
I criteri dell'organizzazione CMEK si applicano solo alle risorse appena create all'interno dei servizi Google Cloud supportati.
Per una spiegazione più dettagliata di come funziona, consulta la pagina relativa alla gerarchia delle risorse di Google Cloud e ai criteri dell'organizzazione CMEK.
Controlla l'utilizzo di CMEK con il criterio dell'organizzazione
Filestore si integra con i vincoli dei criteri dell'organizzazione CMEK per consentirti di specificare i requisiti di conformità della crittografia per le risorse Filestore nella tua organizzazione.
Questa integrazione ti consente di:
Le sezioni seguenti trattano entrambe queste attività.
Richiedi CMEK per tutte le risorse Filestore
Un criterio comune prevede l'utilizzo di CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per applicare questo criterio in Filestore.
Se viene configurato, questo criterio dell'organizzazione causa l'esito negativo di tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata.
Una volta impostato, questo criterio si applica solo alle nuove risorse nel progetto. Tutte le risorse esistenti senza chiavi Cloud KMS impostate continuano a esistere e sono accessibili senza problemi.
Console
Apri la pagina Criteri dell'organizzazione.
Nel campo Filter (Filtro), inserisci
constraints/gcp.restrictNonCmekServicese fai clic su Limita i servizi che possono creare risorse senza CMEK.Fai clic su Gestisci criterio.
Seleziona Personalizza, seleziona Sostituisci e poi fai clic su Aggiungi regola.
Seleziona Personalizzato e poi fai clic su Rifiuta.
Nel campo Valore personalizzato, inserisci
is:file.googleapis.com.Fai clic su Fine, quindi su Imposta criterio.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \
deny gcp.restrictNonCmekServices is:file.googleapis.com
Per verificare che il criterio venga applicato correttamente, puoi provare a creare un'istanza o un backup nel progetto. Se non specifichi una chiave Cloud KMS, il processo non riesce.
Limita le chiavi Cloud KMS per un progetto Filestore
Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Filestore.
Potresti specificare una regola, ad esempio: "Per tutte le risorse Filestore in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys OR projects/team-specific-keys".
Console
Apri la pagina Criteri dell'organizzazione.
Nel campo Filtro, inserisci
constraints/gcp.restrictCmekCryptoKeyProjects, quindi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.Fai clic su Gestisci criterio.
Seleziona Personalizza, seleziona Sostituisci e poi fai clic su Aggiungi regola.
Seleziona Personalizzato e poi fai clic su Consenti.
Nel campo Valore personalizzato, inserisci quanto segue:
under:projects/KMS_PROJECT_IDSostituisci quanto segue:
- KMS_PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio,
under:projects/my-kms-project.
- KMS_PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio,
Fai clic su Fine, quindi su Imposta criterio.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \
allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID
Sostituisci quanto segue:
- KMS_PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio,
under:projects/my-kms-project.
Per verificare che il criterio venga applicato correttamente, puoi provare a creare un'istanza o un backup utilizzando una chiave Cloud KMS di un progetto diverso. Il processo non andrà a buon fine.
Limitazioni
Quando imposti un criterio dell'organizzazione, si applicano le seguenti limitazioni.
Disponibilità di CMEK
Ti ricordiamo che il supporto CMEK non è disponibile per i livelli di servizio HDD base e SSD di base. Dato il modo in cui sono definiti questi vincoli, se applichi un criterio dell'organizzazione che richiede l'utilizzo di CMEK e poi tenti di creare un'istanza di livello base o un backup nel progetto associato, le operazioni di creazione non andranno a buon fine.
Risorse esistenti
Le risorse esistenti non sono soggette ai criteri dell'organizzazione appena creati.
Ad esempio, se crei un criterio dell'organizzazione che richiede di specificare una CMEK per ogni operazione create, il criterio non si applica in modo retroattivo alle istanze e alle catene di backup esistenti. Queste risorse sono ancora accessibili
senza una CMEK. Se vuoi applicare il criterio alle risorse esistenti, che siano istanze o catene di backup, devi sostituirle.
Autorizzazioni richieste per impostare un criterio dell'organizzazione
Potrebbe essere difficile acquisire l'autorizzazione per impostare o aggiornare il criterio dell'organizzazione a scopo di test. Devi disporre del ruolo Amministratore criteri organizzazione, che può essere concesso solo a livello di organizzazione.
Anche se il ruolo deve essere concesso a livello di organizzazione, è comunque possibile specificare un criterio da applicare solo a un progetto o una cartella specifici.
Impatto della rotazione della chiave Cloud KMS
Filestore non ruota automaticamente la chiave di crittografia di una risorsa quando la chiave Cloud KMS associata alla risorsa viene ruotata.
Tutti i dati nelle istanze e nei backup esistenti continuano a essere protetti dalla versione della chiave con cui sono stati creati.
Eventuali istanze o backup appena creati utilizzano la versione della chiave primaria specificata al momento della creazione.
Quando ruoti una chiave, i dati criptati con versioni precedenti della chiave non vengono criptati automaticamente. Per criptare i dati con la versione più recente della chiave, devi decriptare la versione precedente della chiave dalla risorsa, quindi criptare nuovamente la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disabilita o elimina automaticamente le versioni esistenti della chiave.
Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta le seguenti guide:
- Ruotare una chiave
- Decriptare e ricrittografare i dati
- Abilita e disabilita le versioni della chiave
- Elimina e ripristina le versioni delle chiavi
Accesso Filestore alla chiave Cloud KMS
Una chiave Cloud KMS è considerata disponibile e accessibile da Filestore nelle seguenti condizioni:
- La chiave è attivata
- L'account di servizio Filestore dispone di autorizzazioni di crittografia e decriptazione sulla chiave
Passaggi successivi
- Scopri come criptare un'istanza di Filestore o un backup.
- Scopri di più su CMEK.
- Scopri di più sulla crittografia dei dati in transito in Google Cloud.
- Scopri di più sui criteri dell'organizzazione.
- Scopri di più sui criteri dell'organizzazione CMEK.