Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:
constraints/gcp.restrictNonCmekServices
digunakan untuk mewajibkan perlindungan CMEK.constraints/gcp.restrictCmekCryptoKeyProjects
digunakan untuk membatasi kunci Filestore mana yang digunakan untuk perlindungan CMEK.
Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan Google Cloud yang didukung.
Untuk mendapatkan penjelasan lebih mendetail tentang cara kerjanya, lihat hierarki resource Google Cloud dan kebijakan organisasi CMEK.
Mengontrol penggunaan CMEK dengan kebijakan organisasi
Filestore terintegrasi dengan batasan kebijakan organisasi CMEK agar Anda dapat menentukan persyaratan kepatuhan enkripsi untuk resource Filestore di organisasi Anda.
Integrasi ini memungkinkan Anda melakukan hal berikut:
Bagian berikut membahas kedua tugas tersebut.
Memerlukan CMEK untuk semua resource Filestore
Kebijakan umumnya adalah mewajibkan CMEK digunakan untuk melindungi semua resource dalam
organisasi. Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices
untuk menerapkan kebijakan ini di Filestore.
Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.
Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS akan tetap ada dan dapat diakses tanpa masalah.
Konsol
Buka halaman Kebijakan organisasi.
Di kolom Filter, masukkan
constraints/gcp.restrictNonCmekServices
, lalu klik Batasi layanan mana yang dapat membuat resource tanpa CMEK.Klik
Kelola Kebijakan.Pilih Customize, pilih Replace, lalu klik Add Rule.
Pilih Kustom, lalu klik Tolak.
Di kolom Nilai Kustom, masukkan
is:file.googleapis.com
.Klik Selesai, lalu klik Tetapkan Kebijakan.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ deny gcp.restrictNonCmekServices is:file.googleapis.com
Untuk memastikan kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau cadangan di project. Proses ini gagal kecuali jika Anda menentukan kunci Cloud KMS.
Membatasi kunci Cloud KMS untuk project Filestore
Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects
untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource dalam project Filestore.
Anda dapat menentukan aturan, misalnya, "Untuk semua resource Filestore dalam projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys OR project/team-specific-keys.
Konsol
Buka halaman Kebijakan organisasi.
Di kolom Filter, masukkan
constraints/gcp.restrictCmekCryptoKeyProjects
, lalu klik Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK.Klik
Kelola Kebijakan.Pilih Customize, pilih Replace, lalu klik Add Rule.
Pilih Kustom, lalu klik Izinkan.
Di kolom Custom Value, masukkan nilai berikut:
under:projects/KMS_PROJECT_ID
Ganti kode berikut:
- KMS_PROJECT_ID dengan ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada. Misalnya,
under:projects/my-kms-project
.
- KMS_PROJECT_ID dengan ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada. Misalnya,
Klik Selesai, lalu klik Tetapkan Kebijakan.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID
Ganti kode berikut:
- KMS_PROJECT_ID dengan ID project tempat kunci Cloud KMS yang ingin Anda gunakan berada. Misalnya,
under:projects/my-kms-project
.
Untuk memastikan kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau pencadangan menggunakan kunci Cloud KMS dari project yang berbeda. Prosesnya akan gagal.
Batasan
Batasan berikut berlaku saat menetapkan kebijakan organisasi.
Ketersediaan CMEK
Sebagai pengingat, dukungan CMEK tidak tersedia untuk tingkat layanan HDD dasar dan SSD dasar. Mengingat cara penentuan batasan ini, jika Anda menerapkan kebijakan organisasi yang mewajibkan penggunaan CMEK, lalu mencoba membuat instance atau cadangan tingkat dasar dalam project terkait, operasi pembuatan tersebut akan gagal.
Resource yang ada
Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat.
Misalnya, jika Anda membuat kebijakan organisasi yang mengharuskan Anda menentukan CMEK untuk setiap operasi create
, kebijakan tersebut tidak berlaku secara retroaktif untuk instance dan rantai cadangan yang ada. Resource tersebut masih dapat diakses
tanpa CMEK. Jika ingin menerapkan kebijakan ke resource yang ada, baik
instance maupun rantai cadangan, Anda harus menggantinya.
Izin yang diperlukan untuk menetapkan kebijakan organisasi
Izin untuk menetapkan atau memperbarui kebijakan organisasi mungkin sulit diperoleh untuk tujuan pengujian. Anda harus diberi peran Organization Policy Administrator, yang hanya dapat diberikan di tingkat organisasi.
Meskipun peran ini harus diberikan di tingkat organisasi, Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.
Dampak rotasi kunci Cloud KMS
Filestore tidak merotasi kunci enkripsi resource secara otomatis saat kunci Cloud KMS yang terkait dengan resource tersebut dirotasi.
Semua data dalam instance dan cadangan yang ada akan tetap dilindungi oleh versi kunci yang digunakan untuk membuatnya.
Setiap instance atau cadangan yang baru dibuat akan menggunakan versi kunci utama yang ditentukan pada saat pembuatannya.
Saat Anda merotasi kunci, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang. Untuk mengenkripsi data dengan versi kunci terbaru, Anda harus mendekripsi versi kunci lama dari resource, lalu mengenkripsi ulang resource yang sama dengan versi kunci baru. Selain itu, memutar kunci tidak otomatis menonaktifkan atau menghancurkan versi kunci yang ada.
Untuk petunjuk mendetail tentang cara melakukan setiap tugas ini, lihat panduan berikut:
- Merotasi kunci
- Mendekripsi dan mengenkripsi ulang data
- Mengaktifkan dan menonaktifkan versi kunci
- Menghancurkan dan memulihkan versi kunci
Akses Filestore ke kunci Cloud KMS
Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh Filestore dalam kondisi berikut:
- Kunci diaktifkan
- Akun layanan Filestore telah mengenkripsi dan mendekripsi izin pada kunci
Langkah selanjutnya
- Pelajari cara mengenkripsi instance atau cadangan Filestore.
- Pelajari CMEK.
- Pelajari enkripsi saat transit di Google Cloud.
- Pelajari kebijakan organisasi.
- Pelajari kebijakan organisasi CMEK.