Google Cloud offre due vincoli dei criteri dell'organizzazione per contribuire a garantire CMEK all'interno di un'organizzazione:
constraints/gcp.restrictNonCmekServicesviene utilizzato per richiedere la protezione CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsviene utilizzato per limitare quali Le chiavi Cloud KMS vengono utilizzate per la protezione CMEK.
I criteri dell'organizzazione CMEK si applicano solo alle risorse appena create in servizi Google Cloud supportati.
Ruoli obbligatori
Per assicurarti che ogni utente disponga delle autorizzazioni necessarie per controllare i criteri dell'organizzazione durante la creazione delle risorse, chiedi all'amministratore di concedere a ogni utente il ruolo IAM Visualizzatore criteri dell'organizzazione (roles/orgpolicy.policyViewer) nella tua organizzazione.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per controllare i criteri dell'organizzazione durante la creazione delle risorse. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per controllare i criteri dell'organizzazione durante la creazione delle risorse sono necessarie le seguenti autorizzazioni:
-
Per visualizzare i dettagli completi dei criteri dell'organizzazione:
orgpolicy.policy.get -
Per controllare i criteri dell'organizzazione durante la creazione delle risorse:
orgpolicy.policies.check
L'amministratore potrebbe anche essere in grado di concedere a ogni utente queste autorizzazioni con ruoli personalizzati e altri ruoli predefiniti.
Quando i criteri dell'organizzazione sono attivi, l'autorizzazione orgpolicy.policies.check
per gli utenti della console Google Cloud che creano risorse
protette da chiavi CMEK. Gli utenti senza questa autorizzazione possono creare un ambiente protetto da CMEK
utilizzando la console Google Cloud, ma possono selezionare una chiave CMEK
non è consentito dal vincolo restrictCmekCryptoKeyProjects. Quando una chiave
non soddisfa questo vincolo se è selezionata, la creazione della risorsa alla fine non riesce.
Richiedi protezione CMEK
Per richiedere la protezione CMEK per la tua organizzazione, configura
constraints/gcp.restrictNonCmekServices criterio dell'organizzazione.
Come vincolo di elenco, i valori accettati per questo vincolo sono Google Cloud
nomi dei servizi (ad esempio, sqladmin.googleapis.com). Utilizza questo vincolo per
fornendo un elenco di nomi dei servizi Google Cloud e impostando il vincolo su
Rifiuta. Questa configurazione blocca la creazione di risorse in questi
se la risorsa non è protetta da CMEK. Nel
In altre parole, le richieste di creazione di una risorsa nel servizio non hanno esito positivo senza
che specifica una chiave Cloud KMS. Inoltre, questo vincolo blocca
la rimozione della protezione CMEK dalle risorse in questi servizi. Questo vincolo
può essere applicata solo ai servizi supportati.
Limitare l'utilizzo delle chiavi Cloud KMS per CMEK
Per limitare le chiavi Cloud KMS utilizzate per la protezione CMEK,
configurare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects.
Come vincolo dell'elenco, i valori accettati sono indicatori della gerarchia delle risorse (ad esempio projects/PROJECT_ID, under:folders/FOLDER_ID e under:organizations/ORGANIZATION_ID). Utilizza questo vincolo configurando un elenco di indicatori della gerarchia delle risorse e impostando il vincolo su Consenti.
Questa configurazione limita i servizi supportati in modo che sia possibile scegliere le chiavi CMEK
solo dai progetti, dalle cartelle e dalle organizzazioni elencati. Richieste di creazione
Le risorse protette da CMEK nei servizi configurati non avranno esito positivo senza
Chiave Cloud KMS proveniente da una delle risorse consentite. In base alla configurazione,
questo vincolo si applica a tutti i servizi supportati.
Servizi supportati
| Servizio | Valore del vincolo quando viene richiesta una CMEK |
|---|---|
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Funzioni Cloud Run | cloudfunctions.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Colab Enterprise | aiplatform.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Document AI | documentai.googleapis.com |
| Filestore | file.googleapis.com |
| Firestore (anteprima) | firestore.googleapis.com |
| Google Kubernetes Engine (anteprima) | container.googleapis.com |
| Memorystore for Redis | redis.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Secure Source Manager | securesourcemanager.googleapis.com |
| Spanner | spanner.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Vertex AI Agent Builder | discoveryengine.googleapis.com |
| Istanze Vertex AI Workbench | notebooks.googleapis.com |
Criteri dell'organizzazione CMEK e Storage Transfer Service
Sebbene Storage Transfer Service non abbia un'integrazione CMEK, può essere utilizzato
con i criteri dell'organizzazione CMEK. Se utilizzi Storage Transfer Service e vuoi
assicurati che le credenziali del database archiviate in Secret Manager
protetti da CMEK, devi aggiungere sia storagetransfer.googleapis.com che
secretmanager.googleapis.com per constraints/gcp.restrictNonCmekServices
di blocco. Per saperne di più, consulta CMEK Storage Transfer Service
documentazione.
Esclusioni dall'applicazione per tipo di risorsa
I vincoli dei criteri dell'organizzazione CMEK vengono applicati durante la creazione di una nuova risorsa o quando modifichi (se supportata) la chiave Cloud KMS su un modello risorsa. In genere, vengono applicati a tutti i tipi di risorse di un servizio che supportano CMEK e in base esclusivamente alla configurazione della risorsa. Ecco alcune importanti eccezioni:
| Tipo di risorsa | Eccezione dell'applicazione |
|---|---|
bigquery.googleapis.com/Dataset |
Applicato parzialmente sulla chiave Cloud KMS predefinita del set di dati (solo gcp.restrictCmekCryptoKeyProjects)
|
bigquery.googleapis.com/Job |
Solo job di query: applicato alla chiave Cloud KMS fornita con la query o predefinito dal progetto di fatturazione; vedi anche configurazione separata dei progetti chiave Cloud KMS predefinita |
bigquerydatatransfer.googleapis.com/TransferConfig |
Le configurazioni di trasferimento utilizzano il nome del servizio di Data Transfer Service (bigquerydatatransfer.googleapis.com) per i vincoli dei criteri dell'organizzazione CMEK. |
container.googleapis.com/Cluster |
(Anteprima) Applicato sulla chiave Cloud KMS per l'avvio del nodo solo disco; non applicato ai secret a livello di applicazione |
logging.googleapis.com/LogBucket |
Applicata sui bucket di log creati esplicitamente. vedi anche configurazione separata necessarie per garantire la conformità dei bucket di log integrati |
storage.googleapis.com/Bucket |
Applicata sulla chiave Cloud KMS predefinita del bucket |
storage.googleapis.com/Object |
Applicata indipendentemente dal bucket. vedi anche configurazione della chiave Cloud KMS predefinita del bucket |
Esempi di configurazione
Negli esempi di configurazione, supponiamo che l'organizzazione di esempio abbia quanto segue gerarchia delle risorse:
Richiedi chiavi CMEK e limite per un progetto
Supponiamo che tu voglia richiedere la protezione CMEK per tutte le risorse Cloud Storage
in projects/5 e assicurarti che possano essere impiegate solo le chiavi provenienti da projects/4.
Per richiedere la protezione CMEK per tutte le nuove risorse Cloud Storage, utilizza seguente impostazione dei criteri dell'organizzazione:
- Criterio dell'organizzazione:
constraints/gcp.restrictNonCmekServices - Collegamento in:
projects/5 - Tipo di criterio: Nega
- Valore criterio:
storage.googleapis.com
Per assicurarti che vengano utilizzate solo le chiavi del dominio projects/4, utilizza la seguente configurazione:
- Criterio dell'organizzazione:
constraints/gcp.restrictCmekCryptoKeyProjects - Associazione a:
projects/5 - Tipo di criterio: Allow
- Valore del criterio:
projects/4
Richiedi CMEK e limita le chiavi all'interno di una cartella
In alternativa, supponiamo di voler aggiungere altro Cloud KMS
progetti in folders/2 in futuro e vuoi richiedere CMEK in modo più ampio
in folders/3. Per questo scenario, devi avere requisiti
configurazioni.
Per richiedere un'ulteriore protezione CMEK per le nuove funzionalità Cloud SQL e Cloud Storage
ovunque in folders/3:
- Criterio dell'organizzazione:
constraints/gcp.restrictNonCmekServices - Associazione a:
folders/3 - Tipo di criterio: Nega
- Valori dei criteri:
sqladmin.googleapis.com,storage.googleapis.com
Per garantire che solo le chiavi dei progetti Cloud KMS in folders/2 siano
utilizzata:
- Criterio dell'organizzazione:
constraints/gcp.restrictCmekCryptoKeyProjects - Collegamento in:
folders/3 - Tipo di criterio: Consenti
- Valore del criterio:
under:folders/2
Richiedi CMEK per un'organizzazione
Per richiedere CMEK in tutto l'organizzazione (nei servizi supportati),
configurare il vincolo constraints/gcp.restrictNonCmekServices
la seguente impostazione:
- Criterio dell'organizzazione:
constraints/gcp.restrictNonCmekServices - Collegamento in:
organizations/1 - Tipo di criterio: Nega
- Valori criterio: (tutti i servizi supportati)
Limitazioni
Se utilizzi la console Google Cloud per creare una risorsa, potresti notare che
non è possibile utilizzare opzioni di crittografia diverse da CMEK quando
constraints/gcp.restrictNonCmekServices è configurato per un progetto e
completamente gestito di Google Cloud. La limitazione del criterio dell'organizzazione CMEK è visibile solo quando
all'account cliente è stato concesso l'accesso IAM orgpolicy.policy.get
l'autorizzazione per il progetto.
Passaggi successivi
Consulta Introduzione al criterio dell'organizzazione Servizio per saperne di più sui vantaggi e sui casi d'uso comuni per i criteri dell'organizzazione.
Per altri esempi sulla creazione di un criterio dell'organizzazione con vincoli specifici, consulta Utilizzare i vincoli.