Google Cloud ofrece dos restricciones de políticas de la organización para ayudar a garantizar el uso de las CMEK en una organización:
constraints/gcp.restrictNonCmekServicesse usa para requerir protección de las CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsse usa para limitar las claves de Cloud KMS que se usan para la protección de CMEK.
Las políticas de la organización de CMEK solo se aplican a los recursos creados recientemente dentro de los servicios de Google Cloud compatibles.
Roles obligatorios
Para asegurarte de que cada usuario tenga los permisos necesarios para verificar las políticas de la organización cuando cree recursos, pídele a tu administrador que le otorgue a cada usuario el rol de IAM de Visualizador de políticas de la organización (roles/orgpolicy.policyViewer) en tu organización.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para verificar las políticas de la organización cuando se crean recursos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para verificar las políticas de la organización cuando se crean recursos:
-
Para ver los detalles completos de la política de la organización, haz lo siguiente:
orgpolicy.policy.get -
Para verificar la política de la organización cuando creas recursos, haz lo siguiente:
orgpolicy.policies.check
Es posible que tu administrador también pueda otorgar estos permisos a cada usuario con roles personalizados o con otros roles predefinidos.
Cuando las políticas de la organización están activas, se requiere el permiso orgpolicy.policies.check para los usuarios de la consola de Google Cloud que crean recursos protegidos por claves de CMEK. Los usuarios que no tienen este permiso pueden crear recursos protegidos por CMEK con la consola de Google Cloud, pero pueden seleccionar una clave de CMEK que no está permitida por la restricción restrictCmekCryptoKeyProjects. Cuando se selecciona una clave que
no cumple con esta restricción, la creación de recursos falla con el tiempo.
Cómo requerir protección con CMEK
Para exigir la protección de CMEK para tu organización, configura la política de la organización constraints/gcp.restrictNonCmekServices.
Como restricción de lista, los valores aceptados para esta restricción son nombres de servicios de Google Cloud (por ejemplo, sqladmin.googleapis.com). Para usar esta restricción, proporciona una lista de nombres de servicios de Google Cloud y establece la restricción en Denegar. Esta configuración bloquea la creación de recursos en estos
servicios si el recurso no está protegido por CMEK. En otras palabras, las solicitudes para crear un recurso en el servicio no se realizan correctamente sin especificar una clave de Cloud KMS. Además, esta restricción bloquea
la eliminación de la protección de CMEK de los recursos de estos servicios. Esta restricción solo se puede aplicar a los servicios compatibles.
Limita el uso de claves de Cloud KMS para CMEK
Para limitar qué claves de Cloud KMS se usan para la protección de CMEK, configura la restricción constraints/gcp.restrictCmekCryptoKeyProjects.
Como restricción de lista, los valores aceptados son indicadores de jerarquía de recursos (por ejemplo, projects/PROJECT_ID, under:folders/FOLDER_ID y under:organizations/ORGANIZATION_ID). Para usar esta restricción, configura una lista de indicadores de jerarquía de recursos y establece la restricción en Permitir.
Esta configuración restringe los servicios admitidos para que las claves de CMEK se puedan elegir solo de los proyectos, las carpetas y las organizaciones enumeradas. Las solicitudes para crear recursos protegidos por CMEK en servicios configurados no se realizan correctamente sin una clave de Cloud KMS de uno de los recursos permitidos. Cuando se configura,
esta restricción se aplica a todos los servicios compatibles.
Servicios compatibles
| Servicio | Valor de restricción cuando se requiere CMEK |
|---|---|
| AlloyDB para PostgreSQL | alloydb.googleapis.com |
| Apigee | apigee.googleapis.com |
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Funciones de Cloud Run | cloudfunctions.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Colab Enterprise | aiplatform.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Document AI | documentai.googleapis.com |
| Filestore | file.googleapis.com |
| Firestore | firestore.googleapis.com |
| Google Kubernetes Engine (Versión preliminar) | container.googleapis.com |
| Memorystore para Redis | redis.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Secure Source Manager | securesourcemanager.googleapis.com |
| Spanner | spanner.googleapis.com |
| Speech-to-Text | speech.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Vertex AI Agent Builder | discoveryengine.googleapis.com |
| Instancias de Vertex AI Workbench | notebooks.googleapis.com |
Políticas de la organización de CMEK y el Servicio de transferencia de almacenamiento
Aunque el servicio de transferencia de almacenamiento no tiene una integración con CMEK, se puede usar con las políticas de la organización de CMEK. Si usas el Servicio de transferencia de almacenamiento y deseas asegurarte de que las credenciales de la base de datos almacenadas en Secret Manager estén protegidas por CMEK, debes agregar storagetransfer.googleapis.com y secretmanager.googleapis.com a la restricción constraints/gcp.restrictNonCmekServices. Para obtener más información, consulta la documentación de CMEK del servicio de transferencia de almacenamiento.
Excepciones de aplicación por tipo de recurso
Las restricciones de la política de la organización de CMEK se aplican de forma forzosa cuando se crea un recurso nuevo o cuando se cambia (si se admite) la clave de Cloud KMS en un recurso existente. Por lo general, se aplican a todos los tipos de recursos de un servicio que admiten CMEK y se basan únicamente en la configuración del recurso. Aquí se resumen algunas excepciones notables:
| Tipo de recurso | Excepción de aplicación |
|---|---|
bigquery.googleapis.com/Dataset |
Se aplica parcialmente en la clave predeterminada de Cloud KMS del conjunto de datos (solo gcp.restrictCmekCryptoKeyProjects)
|
bigquery.googleapis.com/Job |
Solo trabajos de consulta: Se aplica a la clave de Cloud KMS proporcionada con la consulta o la predeterminada del proyecto de facturación. Consulta también la configuración de la clave predeterminada de Cloud KMS del proyecto. |
bigquerydatatransfer.googleapis.com/TransferConfig |
Las configuraciones de transferencia usan el nombre de servicio del Servicio de transferencia de datos (bigquerydatatransfer.googleapis.com) para las restricciones de la política de organización de CMEK. |
container.googleapis.com/Cluster |
(Versión preliminar) Se aplica de manera forzosa solo en la clave de Cloud KMS para el disco de inicio del nodo, no en los secretos de la capa de aplicación. |
logging.googleapis.com/LogBucket |
Se aplica de forma forzosa a los buckets de registros creados de forma explícita. Consulta también la configuración independiente necesaria para garantizar el cumplimiento de los buckets de registros integrados. |
storage.googleapis.com/Bucket |
Se aplica a la clave de Cloud KMS predeterminada del bucket |
storage.googleapis.com/Object |
Se aplica de forma independiente del bucket. Consulta también la configuración de la clave predeterminada de Cloud KMS del bucket. |
Ejemplos de configuración
En los ejemplos de configuración, supongamos que la organización de ejemplo tiene la siguiente jerarquía de recursos:
Cómo requerir CMEK y limitar las claves de un proyecto
Supongamos que deseas requerir la protección de CMEK para todos los recursos de Cloud Storage de projects/5 y asegurarte de que solo se puedan usar las claves que provienen de projects/4.
Para requerir la protección de CMEK para todos los recursos nuevos de Cloud Storage, usa la siguiente configuración de la política de la organización:
- Política de la organización:
constraints/gcp.restrictNonCmekServices - Vinculación en:
projects/5 - Tipo de política: Rechazar
- Valor de la política:
storage.googleapis.com
Para asegurarte de que solo se usen claves de projects/4, usa la siguiente configuración:
- Política de la organización:
constraints/gcp.restrictCmekCryptoKeyProjects - Vinculación en:
projects/5 - Tipo de política: Permitir
- Valor de la política:
projects/4
Requiere CMEK y limita las claves dentro de una carpeta
Como alternativa, supongamos que esperas agregar proyectos de Cloud KMS adicionales en folders/2 en el futuro y deseas requerir CMEK de manera más amplia en folders/3. Para esta situación, necesitas configuraciones ligeramente diferentes.
Para requerir protección adicional de CMEK para los recursos nuevos de Cloud SQL y Cloud Storage en cualquier lugar de folders/3, haz lo siguiente:
- Política de la organización:
constraints/gcp.restrictNonCmekServices - Vinculación en:
folders/3 - Tipo de política: Rechazar
- Valores de la política:
sqladmin.googleapis.com,storage.googleapis.com
Para garantizar que solo se usen las claves de los proyectos de Cloud KMS en folders/2, haz lo siguiente:
- Política de la organización:
constraints/gcp.restrictCmekCryptoKeyProjects - Vinculación en:
folders/3 - Tipo de política: Permitir
- Valor de la política:
under:folders/2
Cómo requerir CMEK para una organización
Para exigir CMEK en todas partes de la organización (en los servicios compatibles), configura la restricción constraints/gcp.restrictNonCmekServices con el siguiente parámetro de configuración:
- Política de la organización:
constraints/gcp.restrictNonCmekServices - Vinculación en:
organizations/1 - Tipo de política: Rechazar
- Valores de la política: (todos los servicios admitidos)
Limitaciones
Si usas la consola de Google Cloud para crear un recurso, es posible que notes que
no puedes usar ninguna opción de encriptación que no sea CMEK cuando
constraints/gcp.restrictNonCmekServices está configurado para un proyecto y un
servicio. La restricción de la política de la organización de CMEK solo se puede ver cuando a la cuenta de cliente se le otorgó el permiso de IAM orgpolicy.policy.get en el proyecto.
¿Qué sigue?
Consulta Introducción al Servicio de políticas de la organización para obtener más información sobre los beneficios y los casos de uso comunes de las políticas de la organización.
Para ver más ejemplos sobre cómo crear una política de la organización con restricciones específicas, consulta Usa restricciones.