Google Cloud ofrece dos restricciones de políticas de la organización para ayudar a garantizar que las CMEK uso en la organización:
constraints/gcp.restrictNonCmekServicesse usa para requerir CMEK. protección.constraints/gcp.restrictCmekCryptoKeyProjectsse usa para limitar qué Las claves de Filestore se usan para la protección de CMEK.
Las políticas de la organización de CMEK solo se aplican a los recursos creados recientemente dentro de los servicios de Google Cloud compatibles.
Para obtener una explicación más detallada de cómo funciona, consulta Jerarquía de recursos de Google Cloud y las políticas de la organización de CMEK.
Controla el uso de CMEK con la política de la organización
Filestore se integra en CMEK restricciones de las políticas de la organización para especificar los requisitos de cumplimiento de encriptación Recursos de Filestore en tu organización
Esta integración te permite hacer lo siguiente:
En las siguientes secciones, se abordan ambas tareas.
Requerir CMEK para todos los recursos de Filestore
Una política común es requerir que las CMEK se usen para proteger todos los recursos de una organización. Puedes usar el constraints/gcp.restrictNonCmekServices
para aplicar esta política en Filestore.
Si se configura, esta política de la organización causará que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.
Después de establecer esta política, se aplica solo a los recursos nuevos del proyecto. Todos los recursos existentes sin las claves de Cloud KMS establecidas seguirán existiendo y se podrá acceder a ellos sin problemas.
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictNonCmekServicesy, luego, haz clic en Restringir los servicios que pueden crear recursos sin CMEK.Haz clic en Administrar política.
En la página Editar política, selecciona Anular la política del elemento superior.
Selecciona Agregar una regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Rechazar.
En el campo Valores personalizados, ingresa
is:file.googleapis.com.Haz clic en Listo y, luego, en Establecer política.
gcloud
Crea un archivo temporal
/tmp/policy.yamlpara almacenar la política:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:file.googleapis.comReemplaza PROJECT_ID por el ID del proyecto que deseas usar.
Ejecuta el comando
org-policies set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Para verificar que la política se haya aplicado correctamente, puedes intentar crear una instancia o una copia de seguridad en el proyecto. El proceso falla, a menos que especifiques una clave de Cloud KMS.
Restringe las claves de Cloud KMS para un proyecto de Filestore
Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects para
restringir las claves de Cloud KMS que puedes usar para proteger un recurso en un
Proyecto de Filestore.
Puedes especificar una regla, por ejemplo, “Para todos los servicios de Filestore recursos en projects/my-company-data-project, las claves de Cloud KMS que se usan este proyecto debe provenir de projects/my-company-central-keys O projects/team-specific-keys."
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictCmekCryptoKeyProjectsy, luego, haz clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.Haz clic en Administrar política.
En la página Editar política, selecciona Anular la política del elemento superior.
Selecciona Agregar una regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Rechazar.
En el campo Valores personalizados, ingresa lo siguiente:
under:projects/KMS_PROJECT_IDReemplaza KMS_PROJECT_ID por el ID del proyecto, en el que Se encuentran las claves de Cloud KMS que quieres usar.
Por ejemplo,
under:projects/my-kms-project.Haz clic en Listo y, luego, en Establecer política.
gcloud
Crea un archivo temporal
/tmp/policy.yamlpara almacenar la política:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_IDAquí:
- PROJECT_ID es el ID del proyecto que deseas usar.
- KMS_PROJECT_ID es el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar.
Ejecuta el comando org-policies set-policy:
gcloud org-policies set-policy /tmp/policy.yaml
Para verificar que la política se haya aplicado correctamente, puedes intentar crear una instancia o una copia de seguridad con una clave de Cloud KMS de un proyecto diferente. El proceso fallará.
Limitaciones
Las siguientes limitaciones se aplican cuando se configura una política de la organización.
Disponibilidad de CMEK
Recuerda que la compatibilidad con CMEK no está disponible para el HDD básico y el SSD básico niveles de servicio. Debido a la forma en que se definen estas restricciones, si aplicas una política de la organización que requiere el uso de CMEK y, luego, intentas crear una instancia de nivel básico o una copia de seguridad en el proyecto asociado, esas operaciones de creación fallan.
Recursos existentes
Los recursos existentes no están sujetos a las políticas de la organización recién creadas.
Por ejemplo, si creas una política de la organización que requiere que especifiques una
CMEK para cada operación de create, la política no se aplica de forma retroactiva a
las instancias existentes
y las cadenas de copias de seguridad. Esos recursos todavía son accesibles
sin una CMEK. Si quieres aplicar la política a los recursos existentes, ya sea
o cadenas de copias de seguridad, debes reemplazarlas.
Permisos necesarios para establecer una política de la organización
Es posible que sea difícil adquirir permisos para configurar o actualizar la política de la organización con fines de prueba. Se te debe otorgar el rol de administrador de políticas de la organización, que solo se puede otorgar a nivel de la organización.
Aunque el rol se debe otorgar a nivel de la organización, aún es posible especificar una política que solo se aplique a un proyecto o una carpeta específicos.
Efecto de la rotación de claves de Cloud KMS
Filestore no rota automáticamente la clave de encriptación de un recurso cuando se rota la clave de Cloud KMS asociada a ese recurso.
Todos los datos de las instancias y copias de seguridad existentes siguen protegidos por la versión de clave con la que se crearon.
Las instancias o copias de seguridad recién creadas usan la versión de la clave primaria especificada en el momento de su creación.
Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática. Para encriptar tus datos con la versión de clave más reciente, debes desencriptar la versión de clave anterior del recurso y, luego, volver a encriptar el mismo recurso con la versión de clave nueva. Además, rotar una clave no inhabilitar o destruir automáticamente cualquier versión de clave existente.
Para obtener instrucciones detalladas sobre cómo realizar cada una de estas tareas, consulta las siguientes guías:
- Rota una clave
- Cómo desencriptar y volver a encriptar datos
- Habilita o inhabilita versiones de clave
- Destruye y restablece versiones de claves
Acceso de Filestore a la clave de Cloud KMS
Una clave de Cloud KMS se considera disponible y accesible Filestore en las siguientes condiciones:
- La clave está habilitada.
- La cuenta de servicio de Filestore tiene permisos de encriptación y desencriptación en la clave.
¿Qué sigue?
- Aprende a encriptar una instancia o una copia de seguridad de Filestore.
- Obtén más información sobre CMEK.
- Obtén información sobre la encriptación en tránsito en Google Cloud.
- Obtén más información sobre las políticas de la organización.
- Obtén más información sobre las políticas de la organización de CMEK.