Aplicar uma política da organização de CMEK

O Google Cloud oferece duas restrições de política da organização para garantir o uso de CMEK em uma organização:

• constraints/gcp.restrictNonCmekServices é usado para exigir a proteção da CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar quais chaves do Filestore são usadas para proteção de CMEK.

As políticas da organização de CMEK se aplicam apenas a recursos recém-criados nos serviços compatíveis do Google Cloud.

Para uma explicação mais detalhada de como isso funciona, consulte Hierarquia de recursos do Google Cloud e Políticas da organização de CMEK.

Controlar o uso de CMEK com a política da organização

O Filestore se integra às restrições da política da organização de CMEKs para permitir que você especifique requisitos de conformidade de criptografia para recursos do Filestore na sua organização.

Com essa integração, é possível:

• Exija CMEKs para todos os recursos do Filestore.

• Restrinja as chaves do Cloud KMS que podem ser usadas para proteger recursos em um projeto.

As seções a seguir abrangem as duas tarefas.

Exigir CMEKs para todos os recursos do Filestore

Uma política comum é exigir que as CMEKs sejam usadas para proteger todos os recursos de uma organização. Use a restrição constraints/gcp.restrictNonCmekServices para aplicar essa política no Filestore.

Se definida, essa política da organização faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.

Após definir essa política, ela será aplicada somente a novos recursos no projeto. Os recursos atuais sem as chaves do Cloud KMS definidas continuam existindo e podem ser acessados sem problemas.

  gcloud resource-manager org-policies --project=PROJECT_ID \
    deny gcp.restrictNonCmekServices is:file.googleapis.com

Para verificar se a política foi aplicada com êxito, tente criar uma instância ou backup no projeto. O processo falhará a menos que você especifique uma chave do Cloud KMS.

Restringir as chaves do Cloud KMS para um projeto do Filestore

É possível usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que podem ser usadas para proteger um recurso em um projeto do Filestore.

É possível especificar uma regra, por exemplo, "Para todos os recursos do Filestore em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto precisam vir de projects/my-company-central-keys OU projects/team-specific-keys".

  gcloud resource-manager org-policies --project=PROJECT_ID \
    allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID

Para verificar se a política foi aplicada com êxito, tente criar uma instância ou backup usando uma chave do Cloud KMS de um projeto diferente. O processo falhará.

Limitações

As limitações a seguir se aplicam ao definir uma política da organização.

Disponibilidade da CMEK

Como lembrete, o suporte para CMEK não está disponível para os níveis de serviço HDD básico e SSD básico. Dada a forma como essas restrições são definidas, se você aplicar uma política da organização que exija o uso de CMEK e tentar criar uma instância ou backup de nível básico no projeto associado, essas operações de criação falharão.

Recursos atuais

Os recursos atuais não estão sujeitos a políticas recém-criadas da organização. Por exemplo, se você criar uma política da organização que exija a especificação de uma CMEK para cada operação create, a política não se aplicará retroativamente às instâncias e cadeias de backup atuais. Esses recursos ainda podem ser acessados sem uma CMEK. Se você quiser aplicar a política aos recursos atuais, sejam instâncias ou cadeias de backup, substitua-os.

Permissões necessárias para definir uma política da organização

Pode ser difícil obter a permissão para definir ou atualizar a política da organização para fins de teste. É preciso ter o papel de administrador de políticas da organização, que só pode ser concedido no nível da organização.

Embora o papel precise ser concedido no nível da organização, ainda é possível especificar uma política que se aplica apenas a um projeto ou pasta específicos.

Impacto do rodízio de chaves do Cloud KMS

O Filestore não faz a rotação automática da chave de criptografia de um recurso quando a chave do Cloud KMS associada a esse recurso é rotacionada.

• Todos os dados em instâncias e backups atuais continuam protegidos pela versão da chave com que foram criados.

• Todas as instâncias ou backups recém-criados usam a versão da chave primária especificada no momento da criação.

Quando você faz a rotação de uma chave, os dados que foram criptografados com versões anteriores da chave não são recriptografados automaticamente. Para criptografar seus dados com a versão mais recente da chave, é necessário descriptografar a versão antiga do recurso e recriptografar o mesmo recurso com a nova versão da chave. Além disso, a rotação de uma chave não desativa nem destrói automaticamente versões de chave atuais.

Para instruções detalhadas sobre como executar cada uma dessas tarefas, consulte estes guias:

• Alternar uma chave
• Descriptografar e recriptografar dados
• Ativar e desativar versões de chave
• Destruir e restaurar versões de chave

Acesso do Filestore à chave do Cloud KMS

Uma chave do Cloud KMS é considerada disponível e acessível pelo Filestore nas seguintes condições:

• a chave está ativada
• A conta de serviço do Filestore criptografa e descriptografa permissões na chave

A seguir

• Aprenda a criptografar uma instância ou um backup do Filestore.
• Saiba mais sobre CMEK.
• Saiba mais sobre criptografia em trânsito no Google Cloud.
• Saiba mais sobre as políticas da organização.
• Saiba mais sobre as políticas da organização de CMEK.