Terapkan kebijakan organisasi CMEK

Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:

• constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci Filestore mana yang digunakan untuk perlindungan CMEK.

Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan Google Cloud yang didukung.

Untuk mendapatkan penjelasan lebih mendetail tentang cara kerjanya, lihat hierarki resource Google Cloud dan kebijakan organisasi CMEK.

Mengontrol penggunaan CMEK dengan kebijakan organisasi

Filestore terintegrasi dengan batasan kebijakan organisasi CMEK agar Anda dapat menentukan persyaratan kepatuhan enkripsi untuk resource Filestore di organisasi Anda.

Integrasi ini memungkinkan Anda melakukan hal berikut:

• Mewajibkan CMEK untuk semua resource Filestore.

• Batasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource di project.

Bagian berikut membahas kedua tugas tersebut.

Memerlukan CMEK untuk semua resource Filestore

Kebijakan umumnya adalah mewajibkan CMEK digunakan untuk melindungi semua resource dalam organisasi. Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices untuk menerapkan kebijakan ini di Filestore.

Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.

Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS akan tetap ada dan dapat diakses tanpa masalah.

  gcloud resource-manager org-policies --project=PROJECT_ID \
    deny gcp.restrictNonCmekServices is:file.googleapis.com

Untuk memastikan kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau cadangan di project. Proses ini gagal kecuali jika Anda menentukan kunci Cloud KMS.

Membatasi kunci Cloud KMS untuk project Filestore

Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource dalam project Filestore.

Anda dapat menentukan aturan, misalnya, "Untuk semua resource Filestore dalam projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys OR project/team-specific-keys.

  gcloud resource-manager org-policies --project=PROJECT_ID \
    allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID

Untuk memastikan kebijakan berhasil diterapkan, Anda dapat mencoba membuat instance atau pencadangan menggunakan kunci Cloud KMS dari project yang berbeda. Prosesnya akan gagal.

Batasan

Batasan berikut berlaku saat menetapkan kebijakan organisasi.

Ketersediaan CMEK

Sebagai pengingat, dukungan CMEK tidak tersedia untuk tingkat layanan HDD dasar dan SSD dasar. Mengingat cara penentuan batasan ini, jika Anda menerapkan kebijakan organisasi yang mewajibkan penggunaan CMEK, lalu mencoba membuat instance atau cadangan tingkat dasar dalam project terkait, operasi pembuatan tersebut akan gagal.

Resource yang ada

Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat. Misalnya, jika Anda membuat kebijakan organisasi yang mengharuskan Anda menentukan CMEK untuk setiap operasi create, kebijakan tersebut tidak berlaku secara retroaktif untuk instance dan rantai cadangan yang ada. Resource tersebut masih dapat diakses tanpa CMEK. Jika ingin menerapkan kebijakan ke resource yang ada, baik instance maupun rantai cadangan, Anda harus menggantinya.

Izin yang diperlukan untuk menetapkan kebijakan organisasi

Izin untuk menetapkan atau memperbarui kebijakan organisasi mungkin sulit diperoleh untuk tujuan pengujian. Anda harus diberi peran Organization Policy Administrator, yang hanya dapat diberikan di tingkat organisasi.

Meskipun peran ini harus diberikan di tingkat organisasi, Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.

Dampak rotasi kunci Cloud KMS

Filestore tidak merotasi kunci enkripsi resource secara otomatis saat kunci Cloud KMS yang terkait dengan resource tersebut dirotasi.

• Semua data dalam instance dan cadangan yang ada akan tetap dilindungi oleh versi kunci yang digunakan untuk membuatnya.

• Setiap instance atau cadangan yang baru dibuat akan menggunakan versi kunci utama yang ditentukan pada saat pembuatannya.

Saat Anda merotasi kunci, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang. Untuk mengenkripsi data dengan versi kunci terbaru, Anda harus mendekripsi versi kunci lama dari resource, lalu mengenkripsi ulang resource yang sama dengan versi kunci baru. Selain itu, memutar kunci tidak otomatis menonaktifkan atau menghancurkan versi kunci yang ada.

Untuk petunjuk mendetail tentang cara melakukan setiap tugas ini, lihat panduan berikut:

• Merotasi kunci
• Mendekripsi dan mengenkripsi ulang data
• Mengaktifkan dan menonaktifkan versi kunci
• Menghancurkan dan memulihkan versi kunci

Akses Filestore ke kunci Cloud KMS

Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh Filestore dalam kondisi berikut:

• Kunci diaktifkan
• Akun layanan Filestore telah mengenkripsi dan mendekripsi izin pada kunci

Langkah selanjutnya

• Pelajari cara mengenkripsi instance atau cadangan Filestore.
• Pelajari CMEK.
• Pelajari enkripsi saat transit di Google Cloud.
• Pelajari kebijakan organisasi.
• Pelajari kebijakan organisasi CMEK.