Kebijakan organisasi CMEK

Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:

  • constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK.

Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan Google Cloud yang didukung.

Peran yang diperlukan

Guna memastikan bahwa setiap pengguna memiliki izin yang diperlukan untuk memeriksa kebijakan organisasi saat membuat resource, minta administrator Anda untuk memberi setiap pengguna peran IAM Organization Policy Viewer (roles/orgpolicy.policyViewer) di organisasi Anda. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk memeriksa kebijakan organisasi saat membuat resource. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk memeriksa kebijakan organisasi saat membuat resource:

  • Untuk melihat detail lengkap kebijakan organisasi: orgpolicy.policy.get
  • Untuk memeriksa kebijakan organisasi saat membuat resource: orgpolicy.policies.check

Administrator Anda mungkin juga dapat memberi setiap pengguna izin ini dengan peran khusus atau peran standar lainnya.

Saat kebijakan organisasi aktif, izin orgpolicy.policies.check diperlukan untuk pengguna konsol Google Cloud yang membuat resource yang dilindungi oleh kunci CMEK. Pengguna tanpa izin ini dapat membuat resource yang dilindungi CMEK menggunakan Konsol Google Cloud, tetapi mereka dapat memilih kunci CMEK yang tidak diizinkan oleh batasan restrictCmekCryptoKeyProjects. Saat kunci yang tidak memenuhi batasan ini dipilih, pembuatan resource pada akhirnya akan gagal.

Memerlukan perlindungan CMEK

Guna mewajibkan perlindungan CMEK untuk organisasi Anda, konfigurasikan kebijakan organisasi constraints/gcp.restrictNonCmekServices.

Sebagai batasan daftar, nilai yang diterima untuk batasan ini adalah nama layanan Google Cloud (misalnya, sqladmin.googleapis.com). Gunakan batasan ini dengan memberikan daftar nama layanan Google Cloud dan menetapkan batasan ke Deny. Konfigurasi ini memblokir pembuatan resource dalam layanan ini jika resource tersebut tidak dilindungi oleh CMEK. Dengan kata lain, permintaan untuk membuat resource dalam layanan tidak akan berhasil tanpa menentukan kunci Cloud KMS. Selain itu, batasan ini memblokir penghapusan perlindungan CMEK dari resource dalam layanan ini. Batasan ini hanya dapat diterapkan pada layanan yang didukung.

Membatasi penggunaan kunci Cloud KMS untuk CMEK

Untuk membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK, konfigurasikan batasan constraints/gcp.restrictCmekCryptoKeyProjects.

Sebagai batasan daftar, nilai yang diterima adalah indikator hierarki resource (misalnya projects/PROJECT_ID, under:folders/FOLDER_ID, dan under:organizations/ORGANIZATION_ID). Gunakan batasan ini dengan mengonfigurasi daftar indikator hierarki resource dan menetapkan batasan ke Izinkan. Konfigurasi ini membatasi layanan yang didukung sehingga kunci CMEK hanya dapat dipilih dari project, folder, dan organisasi yang tercantum. Permintaan untuk membuat resource yang dilindungi CMEK dalam layanan yang dikonfigurasi tidak akan berhasil tanpa kunci Cloud KMS dari salah satu resource yang diizinkan. Jika sudah dikonfigurasi, batasan ini berlaku untuk semua layanan yang didukung.

Layanan yang didukung

Layanan Nilai batasan saat mewajibkan CMEK
Application Integration integrations.googleapis.com
Artifact Registry artifactregistry.googleapis.com
BigQuery bigquery.googleapis.com
Bigtable bigtable.googleapis.com
Cloud Composer composer.googleapis.com
Cloud Functions cloudfunctions.googleapis.com
Cloud Logging logging.googleapis.com
Cloud Run run.googleapis.com
Cloud SQL sqladmin.googleapis.com
Cloud Storage storage.googleapis.com
Cloud Workstations workstations.googleapis.com
Compute Engine compute.googleapis.com
Dataflow dataflow.googleapis.com
Dataproc dataproc.googleapis.com
Document AI documentai.googleapis.com
Filestore file.googleapis.com
Firestore (Pratinjau) firestore.googleapis.com
Google Kubernetes Engine (Pratinjau) container.googleapis.com
Pub/Sub pubsub.googleapis.com
Secret Manager secretmanager.googleapis.com
Spanner spanner.googleapis.com
Vertex AI aiplatform.googleapis.com
Instance Vertex AI Workbench notebooks.googleapis.com

Pengecualian penerapan berdasarkan jenis resource

Batasan kebijakan organisasi CMEK diterapkan saat membuat resource baru atau saat mengubah (jika didukung) kunci Cloud KMS pada resource yang ada. Umumnya, opsi ini diterapkan pada semua jenis resource layanan yang mendukung CMEK dan hanya didasarkan pada konfigurasi resource. Beberapa pengecualian penting dirangkum di sini:

Jenis resource Pengecualian penegakan
bigquery.googleapis.com/Dataset Diterapkan sebagian pada kunci Cloud KMS default set data (khusus gcp.restrictCmekCryptoKeyProjects)
bigquery.googleapis.com/Job Khusus tugas kueri: diterapkan pada kunci Cloud KMS yang disediakan dengan kueri atau default dari project penagihan; lihat juga konfigurasi kunci Cloud KMS default project yang terpisah
bigquerydatatransfer.googleapis.com/TransferConfig Konfigurasi transfer menggunakan nama layanan Data Transfer Service (bigquerydatatransfer.googleapis.com) untuk batasan kebijakan organisasi CMEK.
container.googleapis.com/Cluster (Pratinjau) Diterapkan pada kunci Cloud KMS hanya untuk disk booting node; tidak diterapkan pada secret di lapisan aplikasi
logging.googleapis.com/LogBucket Diterapkan pada bucket log yang dibuat secara eksplisit; lihat juga konfigurasi terpisah yang diperlukan untuk memastikan kepatuhan bucket log bawaan
storage.googleapis.com/Bucket Diterapkan pada kunci Cloud KMS default bucket
storage.googleapis.com/Object Diterapkan secara terpisah dari bucket; lihat juga konfigurasi terpisah untuk kunci Cloud KMS default bucket

Contoh konfigurasi

Dalam contoh konfigurasi, asumsikan organisasi contoh memiliki hierarki resource berikut:

Diagram hierarki resource organisasi

Mewajibkan CMEK dan membatasi kunci untuk sebuah project

Misalkan Anda ingin mewajibkan perlindungan CMEK untuk semua resource Cloud Storage pada projects/5 dan memastikan hanya kunci yang berasal dari projects/4 yang dapat digunakan.

Guna mewajibkan perlindungan CMEK untuk semua resource Cloud Storage baru, gunakan setelan kebijakan organisasi berikut:

  • Kebijakan organisasi: constraints/gcp.restrictNonCmekServices
  • Binding pada: projects/5
  • Jenis kebijakan: Tolak
  • Nilai kebijakan: storage.googleapis.com

Untuk memastikan hanya kunci dari projects/4 yang digunakan, gunakan konfigurasi berikut:

  • Kebijakan organisasi: constraints/gcp.restrictCmekCryptoKeyProjects
  • Binding pada: projects/5
  • Jenis kebijakan: Allow
  • Nilai kebijakan: projects/4

Mewajibkan CMEK dan membatasi kunci hanya di dalam folder

Atau, anggaplah Anda ingin menambahkan project Cloud KMS lain dalam folders/2 di masa mendatang dan ingin mewajibkan CMEK secara lebih luas dalam folders/3. Untuk skenario ini, Anda memerlukan konfigurasi yang sedikit berbeda.

Guna mewajibkan perlindungan CMEK tambahan untuk resource Cloud SQL dan Cloud Storage baru di mana saja pada folders/3:

  • Kebijakan organisasi: constraints/gcp.restrictNonCmekServices
  • Binding pada: folders/3
  • Jenis kebijakan: Tolak
  • Nilai kebijakan: sqladmin.googleapis.com, storage.googleapis.com

Untuk memastikan hanya kunci dari project Cloud KMS di bawah folders/2 yang digunakan:

  • Kebijakan organisasi: constraints/gcp.restrictCmekCryptoKeyProjects
  • Binding pada: folders/3
  • Jenis kebijakan: Allow
  • Nilai kebijakan: under:folders/2

Mewajibkan CMEK untuk organisasi

Untuk mewajibkan CMEK di mana saja dalam organisasi (di layanan yang didukung), konfigurasikan batasan constraints/gcp.restrictNonCmekServices dengan setelan berikut:

  • Kebijakan organisasi: constraints/gcp.restrictNonCmekServices
  • Binding pada: organizations/1
  • Jenis kebijakan: Tolak
  • Nilai kebijakan: (semua layanan yang didukung)

Batasan

Jika menggunakan konsol Google Cloud untuk membuat resource, Anda mungkin melihat bahwa Anda tidak dapat menggunakan opsi enkripsi selain CMEK saat constraints/gcp.restrictNonCmekServices dikonfigurasi untuk sebuah project dan layanan. Pembatasan kebijakan organisasi CMEK hanya terlihat jika akun pelanggan telah diberi izin IAM orgpolicy.policy.get pada project tersebut.

Langkah selanjutnya

Lihat Pengantar Layanan Kebijakan Organisasi untuk mempelajari lebih lanjut manfaat dan kasus penggunaan umum untuk kebijakan organisasi.

Untuk contoh lainnya tentang cara membuat kebijakan organisasi dengan batasan tertentu, lihat Menggunakan batasan.