Google Cloud offre due vincoli dei criteri dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:
constraints/gcp.restrictNonCmekServices
viene utilizzato per richiedere la protezione CMEK.constraints/gcp.restrictCmekCryptoKeyProjects
viene utilizzato per limitare le chiavi Filestore utilizzate per la protezione CMEK.
I criteri dell'organizzazione CMEK si applicano solo alle risorse appena create all'interno dei servizi Google Cloud supportati.
Per una spiegazione più dettagliata del funzionamento, consulta la gerarchia delle risorse di Google Cloud e i criteri dell'organizzazione CMEK.
Controllare l'utilizzo di CMEK con i criteri dell'organizzazione
Filestore si integra con i limiti delle norme dell'organizzazione CMEK per consentirti di specificare i requisiti di conformità alla crittografia per le risorse Filestore nella tua organizzazione.
Questa integrazione ti consente di:
Le sezioni seguenti trattano entrambe queste attività.
Richiedi CMEK per tutte le risorse Filestore
Un criterio comune è richiedere l'utilizzo di CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare la vincolo constraints/gcp.restrictNonCmekServices
per applicare questa norma in Filestore.
Se impostato, questo criterio dell'organizzazione fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.
Una volta impostato, questo criterio si applica solo alle nuove risorse del progetto. Le eventuali risorse esistenti senza chiavi Cloud KMS impostate continueranno a esistere e saranno accessibili senza problemi.
Console
Apri la pagina Criteri dell'organizzazione.
Nel campo Filtra, inserisci
constraints/gcp.restrictNonCmekServices
e poi fai clic su Limita i servizi che possono creare risorse senza CMEK.Fai clic su
Gestisci criteri.Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Rifiuta.
Nel campo Valori personalizzati, inserisci
is:file.googleapis.com
.Fai clic su Fine, quindi su Imposta criteri.
gcloud
Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:file.googleapis.com
Sostituisci PROJECT_ID con l'ID del progetto che vuoi utilizzare.
Esegui il comando
org-policies set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un'istanza o un backup nel progetto. Il processo non va a buon fine a meno che non specifichi una chiave Cloud KMS.
Limitare le chiavi Cloud KMS per un progetto Filestore
Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects
per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Filestore.
Potresti specificare una regola, ad esempio "Per tutte le risorse Filestore in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys OPPURE projects/team-specific-keys".
Console
Apri la pagina Criteri dell'organizzazione.
Nel campo Filtra, inserisci
constraints/gcp.restrictCmekCryptoKeyProjects
e poi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.Fai clic su
Gestisci criteri.Nella pagina Modifica criterio, seleziona Ignora criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Rifiuta.
Nel campo Valori personalizzati, inserisci quanto segue:
under:projects/KMS_PROJECT_ID
Sostituisci KMS_PROJECT_ID con l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
Ad esempio,
under:projects/my-kms-project
.Fai clic su Fine, quindi su Imposta criteri.
gcloud
Crea un file temporaneo
/tmp/policy.yaml
per archiviare il criterio:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_ID
Dove:
- PROJECT_ID è l'ID del progetto che vuoi utilizzare.
- KMS_PROJECT_ID è l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
Esegui il comando org-policies set-policy:
gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un'istanza o un backup utilizzando una chiave Cloud KMS di un altro progetto. Il procedura non andrà a buon fine.
Limitazioni
Quando imposti un criterio dell'organizzazione, si applicano le seguenti limitazioni.
Disponibilità di CMEK
Ti ricordiamo che il supporto di CMEK non è disponibile per i livelli di servizio HDD base e SSD base. Dato il modo in cui sono definiti questi vincoli, se applichi un criterio dell'organizzazione che richiede l'utilizzo di CMEK e poi provi a creare un'istanza o un backup di livello base nel progetto associato, queste operazioni di creazione non andranno a buon fine.
Risorse esistenti
Le risorse esistenti non sono soggette ai criteri dell'organizzazione appena creati.
Ad esempio, se crei un criterio dell'organizzazione che richiede di specificare un CMEK per ogni operazione create
, il criterio non viene applicato in modo retroattivo alle istanze esistenti e alle catene di backup. Queste risorse sono ancora accessibili
senza un CMEK. Se vuoi applicare il criterio alle risorse esistenti, che si tratti di istanze o catene di backup, devi sostituirle.
Autorizzazioni richieste per impostare una norma dell'organizzazione
L'autorizzazione per impostare o aggiornare il criterio dell'organizzazione potrebbe essere difficile da acquisire per scopi di test. Devi disporre del ruolo Amministratore criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione.
Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.
Impatto della rotazione della chiave Cloud KMS
Filestore non ruota automaticamente la chiave di crittografia di una risorsa quando viene ruotata la chiave Cloud KMS associata alla risorsa.
Tutti i dati nelle istanze e nei backup esistenti continuano a essere protetti dalla versione della chiave con cui sono stati creati.
Eventuali istanze o backup appena creati utilizzano la versione della chiave primaria specificata al momento della loro creazione.
Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono nuovamente criptati. Per criptare i dati con la versione più recente della chiave, devi decriptare la versione precedente della chiave dalla risorsa, quindi criptare nuovamente la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disattiva o elimina automaticamente le versioni delle chiavi esistenti.
Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta le seguenti guide:
- Ruotare una chiave
- Decriptare e ricriptare i dati
- Abilita e disabilita le versioni della chiave
- Distruggere e ripristinare le versioni delle chiavi
Accesso di Filestore alla chiave Cloud KMS
Una chiave Cloud KMS è considerata disponibile e accessibile da Filestore alle seguenti condizioni:
- La chiave sia attivata
- L'account di servizio Filestore dispone delle autorizzazioni di crittografia e decrittografia per la chiave
Passaggi successivi
- Scopri come criptare un'istanza o un backup di Filestore.
- Scopri di più su CMEK.
- Scopri di più sulla crittografia dei dati in transito in Google Cloud.
- Scopri di più sui criteri dell'organizzazione.
- Scopri di più sui criteri dell'organizzazione CMEK.