Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung in einer Organisation sicherzustellen:
- Mit
constraints/gcp.restrictNonCmekServiceswird der CMEK-Schutz angefordert. - Mit
constraints/gcp.restrictCmekCryptoKeyProjectswird eingeschränkt, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden.
CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.
Erforderliche Rollen
Bitten Sie Ihren Administrator, jedem Nutzer die IAM-Rolle Organization Policy Viewer (roles/orgpolicy.policyViewer) für Ihre Organisation zu gewähren, damit jeder Nutzer die erforderlichen Berechtigungen zum Prüfen von Organisationsrichtlinien beim Erstellen von Ressourcen hat.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Prüfen von Organisationsrichtlinien beim Erstellen von Ressourcen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien beim Erstellen von Ressourcen zu prüfen:
-
So rufen Sie die vollständigen Details der Organisationsrichtlinie auf:
orgpolicy.policy.get -
So prüfen Sie die Organisationsrichtlinie beim Erstellen von Ressourcen:
orgpolicy.policies.check
Möglicherweise kann Ihr Administrator jedem Nutzer diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen gewähren.
Wenn Organisationsrichtlinien aktiv sind, ist die Berechtigung orgpolicy.policies.check für Nutzer der Google Cloud Console erforderlich, die Ressourcen erstellen, die durch CMEK-Schlüssel geschützt sind. Nutzer ohne diese Berechtigung können mit der Google Cloud Console CMEK-geschützte Ressourcen erstellen, aber einen CMEK-Schlüssel auswählen, der gemäß der Einschränkung restrictCmekCryptoKeyProjects nicht zulässig ist. Wenn ein Schlüssel ausgewählt wird, der diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung irgendwann fehl.
CMEK-Schutz verlangen
Konfigurieren Sie die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices, um den CMEK-Schutz für Ihre Organisation anzufordern.
Als Listeneinschränkung sind die zulässigen Werte für diese Einschränkung Google Cloud-Dienstnamen (z. B. sqladmin.googleapis.com). Geben Sie eine Liste mit Google Cloud-Dienstnamen an und setzen Sie die Einschränkung auf Ablehnen. Diese Konfiguration blockiert das Erstellen von Ressourcen in diesen Diensten, wenn die Ressource nicht durch CMEK geschützt ist. Mit anderen Worten: Anfragen zum Erstellen einer Ressource im Dienst sind ohne Angabe eines Cloud KMS-Schlüssels nicht erfolgreich. Außerdem blockiert diese Einschränkung das Entfernen des CMEK-Schutzes von Ressourcen in diesen Diensten. Diese Einschränkung kann nur auf unterstützte Dienste angewendet werden.
Verwendung von Cloud KMS-Schlüsseln für CMEK beschränken
Konfigurieren Sie die Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects, um einzuschränken, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden.
Als Listeneinschränkung sind die zulässigen Werte Indikatoren für die Ressourcenhierarchie (z. B. projects/PROJECT_ID, under:folders/FOLDER_ID und under:organizations/ORGANIZATION_ID). Konfigurieren Sie für diese Einschränkung eine Liste mit Indikatoren für die Ressourcenhierarchie und legen Sie für die Einschränkung Zulassen fest.
Diese Konfiguration schränkt die unterstützten Dienste ein, sodass CMEK-Schlüssel nur aus den aufgeführten Projekten, Ordnern und Organisationen ausgewählt werden können. Anfragen zum Erstellen von CMEK-geschützten Ressourcen in konfigurierten Diensten sind ohne einen Cloud KMS-Schlüssel aus einer der zulässigen Ressourcen nicht erfolgreich. Sofern konfiguriert, gilt diese Einschränkung für alle unterstützten Dienste.
Unterstützte Dienste
| Dienst | Einschränkungswert, wenn ein CMEK erforderlich ist |
|---|---|
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Functions | cloudfunctions.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Document AI | documentai.googleapis.com |
| Filestore | file.googleapis.com |
| Google Kubernetes Engine (Vorschau) | container.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Spanner | spanner.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Vertex AI Workbench-Instanzen | notebooks.googleapis.com |
Erzwingungsausnahmen nach Ressourcentyp
Einschränkungen für CMEK-Organisationsrichtlinien werden erzwungen, wenn eine neue Ressource erstellt oder der Cloud KMS-Schlüssel einer vorhandenen Ressource geändert wird (sofern unterstützt). Im Allgemeinen werden sie für alle Ressourcentypen eines Dienstes erzwungen, die CMEK unterstützen und ausschließlich auf der Konfiguration der Ressource basieren. Einige wichtige Ausnahmen sind hier zusammengefasst:
| Ressourcentyp | Ausnahme bei der Erzwingung |
|---|---|
bigquery.googleapis.com/Dataset |
Teilweise für den Cloud KMS-Standardschlüssel des Datasets erzwungen (nur gcp.restrictCmekCryptoKeyProjects)
|
bigquery.googleapis.com/Job |
Nur Abfragejobs: erzwungen für den Cloud KMS-Schlüssel, der mit der Abfrage oder der Standardeinstellung aus dem Abrechnungsprojekt bereitgestellt wird; siehe auch die separate Konfiguration des Cloud KMS-Standardschlüssels für das Projekt. |
bigquerydatatransfer.googleapis.com/TransferConfig |
Übertragungskonfigurationen verwenden den Dienstnamen des Data Transfer Service (bigquerydatatransfer.googleapis.com) für Einschränkungen von CMEK-Organisationsrichtlinien. |
container.googleapis.com/Cluster |
(Vorabversion) Wird nur für den Cloud KMS-Schlüssel für das Bootlaufwerk des Knotens erzwungen; nicht für Secrets auf Anwendungsebene erzwungen |
logging.googleapis.com/LogBucket |
Erzwungen für explizit erstellte Log-Buckets. Weitere Informationen finden Sie unter Compliance mit integrierten Log-Buckets gewährleisten. |
storage.googleapis.com/Bucket |
Beim Standard-Cloud KMS-Schlüssel des Buckets erzwungen |
storage.googleapis.com/Object |
Unabhängig vom Bucket erzwungen. Weitere Informationen finden Sie unter Konfiguration des Cloud KMS-Standardschlüssels für Buckets. |
Konfigurationsbeispiele
In den Konfigurationsbeispielen wird davon ausgegangen, dass die Beispielorganisation die folgende Ressourcenhierarchie hat:
CMEK und Limitschlüssel für ein Projekt anfordern
Angenommen, Sie möchten den CMEK-Schutz für alle Cloud Storage-Ressourcen unter projects/5 anfordern und dafür sorgen, dass nur Schlüssel aus projects/4 verwendet werden können.
Verwenden Sie die folgende Einstellung für die Organisationsrichtlinie, um den CMEK-Schutz für alle neuen Cloud Storage-Ressourcen anzufordern:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung ab:
projects/5 - Richtlinientyp: Ablehnen
- Richtlinienwert:
storage.googleapis.com
Verwenden Sie die folgende Konfiguration, damit nur Schlüssel aus projects/4 verwendet werden:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects - Bindung ab:
projects/5 - Richtlinientyp: Zulassen
- Richtlinienwert:
projects/4
CMEK verlangen und Schlüssel auf einen Ordner beschränken
Angenommen, Sie möchten in Zukunft weitere Cloud KMS-Projekte unter folders/2 hinzufügen und möchten CMEK innerhalb von folders/3 umfassender anfordern. Für dieses Szenario benötigen Sie etwas andere Konfigurationen.
Wenn Sie zusätzlichen CMEK-Schutz für neue Cloud SQL- und Cloud Storage-Ressourcen unter folders/3 benötigen:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung ab:
folders/3 - Richtlinientyp: Ablehnen
- Richtlinienwerte:
sqladmin.googleapis.com,storage.googleapis.com
So sorgen Sie dafür, dass nur Schlüssel aus Cloud KMS-Projekten unter folders/2 verwendet werden:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects - Bindung ab:
folders/3 - Richtlinientyp: Zulassen
- Richtlinienwert:
under:folders/2
CMEK für eine Organisation verlangen
Wenn Sie CMEK überall in der Organisation (in unterstützten Diensten) erzwingen möchten, konfigurieren Sie die Einschränkung constraints/gcp.restrictNonCmekServices mit der folgenden Einstellung:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung ab:
organizations/1 - Richtlinientyp: Ablehnen
- Richtlinienwerte: (alle unterstützten Dienste)
Beschränkungen
Wenn Sie die Google Cloud Console zum Erstellen einer Ressource verwenden, stellen Sie möglicherweise fest, dass Sie keine anderen Verschlüsselungsoptionen als CMEK verwenden können, wenn constraints/gcp.restrictNonCmekServices für ein Projekt und einen Dienst konfiguriert ist. Die Einschränkung der CMEK-Organisationsrichtlinie ist nur sichtbar, wenn dem Kundenkonto die IAM-Berechtigung orgpolicy.policy.get für das Projekt gewährt wurde.
Nächste Schritte
Weitere Informationen zu den Vorteilen und gängigen Anwendungsfällen von Organisationsrichtlinien finden Sie unter Einführung in den Organisationsrichtliniendienst.
Weitere Beispiele zum Erstellen einer Organisationsrichtlinie mit bestimmten Einschränkungen finden Sie unter Einschränkungen verwenden.