Questa pagina è stata tradotta dall'API Cloud Translation.

Applica un criterio dell'organizzazione CMEK

Google Cloud offre due vincoli dei criteri dell'organizzazione per contribuire a garantire l'utilizzo di CMEK in un'organizzazione:

constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.
constraints/gcp.restrictCmekCryptoKeyProjects viene utilizzato per limitare quali Le chiavi Filestore vengono utilizzate per la protezione CMEK.

I criteri dell'organizzazione CMEK si applicano solo alle risorse appena create all'interno dei servizi Google Cloud supportati.

Per una spiegazione più dettagliata di come funziona, consulta: Gerarchia delle risorse di Google Cloud e i criteri dell'organizzazione CMEK.

Controllare l'utilizzo di CMEK con i criteri dell'organizzazione

Filestore si integra con CMEK vincoli dei criteri dell'organizzazione che ti consente di specificare i requisiti di conformità della crittografia delle risorse Filestore nella tua organizzazione.

Questa integrazione ti consente di:

Richiedi CMEK per tutte le risorse Filestore.
Limita le chiavi Cloud KMS utilizzabili per proteggere le risorse in un progetto.

Le sezioni seguenti trattano entrambe le attività.

Richiedi CMEK per tutte le risorse Filestore

Un criterio comune è richiedere l'utilizzo di CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare la vincolo constraints/gcp.restrictNonCmekServices per applicare questa norma in Filestore.

Se configurato, questo criterio dell'organizzazione causa tutte le richieste di creazione di risorse senza un che la chiave Cloud KMS specificata non abbia esito positivo.

Una volta impostato, questo criterio si applica solo alle nuove risorse del progetto. Qualsiasi e risorse esistenti senza chiavi Cloud KMS impostate continuano a esistere accessibile senza problemi.

Console

Apri la pagina Criteri dell'organizzazione.

Vai a Criteri dell'organizzazione
Nel campo Filtro, inserisci constraints/gcp.restrictNonCmekServices, quindi fai clic su Limita i servizi che possono creare risorse senza CMEK.
Fai clic su Gestisci criteri.
Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Rifiuta.
Nel campo Valori personalizzati, inserisci is:file.googleapis.com.
Fai clic su Fine, quindi su Imposta criterio.

gcloud

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

  name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:file.googleapis.com

Sostituisci PROJECT_ID con l'ID del progetto da utilizzare per gli utilizzi odierni.

Esegui il comando org-policies set-policy:

  gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio venga applicato correttamente, puoi provare a creare un o un backup nel progetto. Il processo non va a buon fine se non specifichi un Chiave Cloud KMS.

Limitare le chiavi Cloud KMS per un progetto Filestore

Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Filestore.

Puoi specificare una regola, ad esempio "Per tutti i file Filestore risorse in projects/my-company-data-project, chiavi Cloud KMS utilizzate in questo progetto deve provenire da projects/my-company-central-keys OPPURE projects/team-specific-keys."

Console

Apri la pagina Criteri dell'organizzazione.

Vai a Criteri dell'organizzazione
Nel campo Filtra, inserisci constraints/gcp.restrictCmekCryptoKeyProjects e poi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.
Fai clic su Gestisci criteri.
Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
Seleziona Aggiungi una regola.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Rifiuta.
Nel campo Valori personalizzati, inserisci quanto segue:
```
under:projects/KMS_PROJECT_ID
```
Sostituisci KMS_PROJECT_ID con l'ID del progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

Ad esempio, under:projects/my-kms-project.
Fai clic su Fine, quindi su Imposta criterio.

gcloud

Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:
```
  name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID
```
Dove:
- PROJECT_ID è l'ID del progetto che vuoi utilizzare.
- KMS_PROJECT_ID è l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

Esegui il comando org-policies set-policy:

  gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un'istanza o un backup utilizzando una chiave Cloud KMS di un altro progetto. La processo non riuscirà.

Limitazioni

Quando si imposta un criterio dell'organizzazione, si applicano le seguenti limitazioni.

Disponibilità CMEK

Ti ricordiamo che il supporto di CMEK non è disponibile per i livelli di servizio HDD base e SSD base. Dato il modo in cui sono definiti questi vincoli, se applichi una che richiede l'utilizzo di CMEK, quindi tenterà di creare un'istanza o un backup di livello base nel progetto associato, creano operazioni non riuscito.

Risorse esistenti

Le risorse esistenti non sono soggette ai nuovi criteri dell'organizzazione. Ad esempio, se crei un criterio dell'organizzazione che richiede di specificare un CMEK per ogni operazione create, il criterio non viene applicato retroattivamente a le istanze esistenti e le catene di backup. Queste risorse sono ancora accessibili senza un CMEK. Se vuoi applicare il criterio alle risorse esistenti, che si tratti di istanze o catene di backup, devi sostituirle.

Autorizzazioni richieste per impostare un criterio dell'organizzazione

L'autorizzazione per impostare o aggiornare il criterio dell'organizzazione potrebbe essere difficile da acquisire a fini di test. Devi disporre del ruolo Amministratore dei criteri dell'organizzazione, che può essere concesso solo a livello di organizzazione.

Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare un criterio che si applichi solo a un progetto o a una cartella specifici.

Impatto della rotazione delle chiavi Cloud KMS

Filestore non ruota automaticamente la chiave di crittografia di una risorsa quando la chiave Cloud KMS associata alla risorsa viene ruotata.

Tutti i dati nelle istanze e nei backup esistenti continuano a essere protetti la versione della chiave con cui sono state create.
Eventuali istanze o backup appena creati utilizzano la versione della chiave principale specificata al momento della loro creazione.

Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono nuovamente criptati. Per criptare i dati con la versione più recente della chiave, devi decriptare la vecchia versione della chiave dalla risorsa, quindi criptare nuovamente la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disattiva o elimina automaticamente le versioni delle chiavi esistenti.

Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta il seguenti guide:

Accesso a Filestore alla chiave Cloud KMS

Una chiave Cloud KMS è considerata disponibile e accessibile da Filestore alle seguenti condizioni:

La chiave è attivata
L'account di servizio Filestore dispone delle autorizzazioni di crittografia e decrittografia per la chiave

Passaggi successivi

Scopri come criptare un'istanza o un backup di Filestore.
Scopri di più su CMEK.
Scopri di più sulla crittografia dei dati in transito in Google Cloud.
Scopri di più sui criteri dell'organizzazione.
Scopri di più sui criteri dell'organizzazione CMEK.