Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um den CMEK sicherzustellen Nutzung in einer Organisation:
- Mit
constraints/gcp.restrictNonCmekServices
wird ein CMEK erforderlich zu schützen. - Mit
constraints/gcp.restrictCmekCryptoKeyProjects
können Sie begrenzen, Cloud KMS-Schlüssel werden für den CMEK-Schutz verwendet.
CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.
Erforderliche Rollen
Um sicherzustellen, dass alle Nutzenden
zum Prüfen von Organisationsrichtlinien beim Erstellen von Ressourcen,
bitten Sie Ihren Administrator, jedem Nutzer die
IAM-Rolle Organisationsrichtlinien-Betrachter (roles/orgpolicy.policyViewer
) für Ihre Organisation.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält Berechtigungen, die zum Prüfen von Organisationsrichtlinien beim Erstellen von Ressourcen erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien beim Erstellen von Ressourcen zu prüfen:
-
So rufen Sie die vollständigen Details zur Organisationsrichtlinie auf:
orgpolicy.policy.get
-
So prüfen Sie beim Erstellen von Ressourcen die Organisationsrichtlinie:
orgpolicy.policies.check
Möglicherweise kann Ihr Administrator jedem Nutzer diese Berechtigungen mit benutzerdefinierten Rollen oder weitere vordefinierte Rollen.
Wenn Organisationsrichtlinien aktiv sind, hat die Berechtigung orgpolicy.policies.check
ist für Nutzer der Google Cloud Console erforderlich, die Ressourcen erstellen,
durch CMEK-Schlüssel geschützt. Nutzer ohne diese Berechtigung können CMEK-geschützt erstellen
über die Google Cloud Console erstellen,
aber einen CMEK-Schlüssel auswählen,
ist gemäß der Einschränkung restrictCmekCryptoKeyProjects
nicht zulässig. Wenn ein Schlüssel, der
diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung fehl.
CMEK-Schutz verlangen
Wenn Sie einen CMEK-Schutz für Ihre Organisation anfordern möchten, konfigurieren Sie den
Organisationsrichtlinie constraints/gcp.restrictNonCmekServices
.
Als Listeneinschränkung sind die akzeptierten Werte für diese Einschränkung Google Cloud
Dienstnamen, z. B. sqladmin.googleapis.com
. Diese Einschränkung verwenden durch
Eine Liste der Google Cloud-Dienstnamen bereitstellen und die Einschränkung auf
Ablehnen. Diese Konfiguration blockiert das Erstellen von Ressourcen in diesen
, wenn die Ressource nicht durch einen CMEK geschützt ist. In
Mit anderen Worten: Anfragen zum Erstellen einer Ressource im Dienst sind nur erfolgreich,
und legt einen Cloud KMS-Schlüssel fest. Außerdem blockiert diese Einschränkung
der Entfernung des CMEK-Schutzes von Ressourcen in diesen Diensten. Diese Einschränkung
kann nur auf unterstützte Dienste angewendet werden.
Verwendung von Cloud KMS-Schlüsseln für CMEK beschränken
So begrenzen Sie, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden:
Konfigurieren Sie die Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects
.
Als Listeneinschränkung sind die zulässigen Werte Indikatoren der Ressourcenhierarchie (für
Beispiel: projects/PROJECT_ID
, under:folders/FOLDER_ID
und
under:organizations/ORGANIZATION_ID
). Verwenden Sie diese Einschränkung, indem Sie ein
Liste mit Indikatoren für die Ressourcenhierarchie und durch Festlegen der Einschränkung auf Zulassen.
In dieser Konfiguration werden unterstützte Dienste eingeschränkt, sodass CMEK-Schlüssel ausgewählt werden können
nur aus den aufgeführten Projekten, Ordnern und Organisationen auswählen. Anfragen zum Erstellen
CMEK-geschützte Ressourcen in konfigurierten Diensten sind ohne eine
Cloud KMS-Schlüssel aus einer der zulässigen Ressourcen. Je nach Konfiguration
gilt diese Einschränkung für alle unterstützten Dienste.
Unterstützte Dienste
Dienst | Einschränkungswert, wenn CMEK erforderlich ist |
---|---|
Application Integration | integrations.googleapis.com |
Artifact Registry | artifactregistry.googleapis.com |
BigQuery | bigquery.googleapis.com |
Bigtable | bigtable.googleapis.com |
Cloud Composer | composer.googleapis.com |
Cloud Functions | cloudfunctions.googleapis.com |
Cloud Logging | logging.googleapis.com |
Cloud Run | run.googleapis.com |
Cloud SQL | sqladmin.googleapis.com |
Cloud Storage | storage.googleapis.com |
Cloud Workstations | workstations.googleapis.com |
Colab Enterprise | aiplatform.googleapis.com |
Compute Engine | compute.googleapis.com |
Dataflow | dataflow.googleapis.com |
Dataproc | dataproc.googleapis.com |
Document AI | documentai.googleapis.com |
Filestore | file.googleapis.com |
Firestore (Vorschau) | firestore.googleapis.com |
Google Kubernetes Engine (Vorschau) | container.googleapis.com |
Pub/Sub | pubsub.googleapis.com |
Secret Manager | secretmanager.googleapis.com |
Spanner | spanner.googleapis.com |
Vertex AI | aiplatform.googleapis.com |
Vertex AI Workbench-Instanzen | notebooks.googleapis.com |
Ausnahmen bei der Erzwingung nach Ressourcentyp
Einschränkungen für CMEK-Organisationsrichtlinien werden beim Erstellen einer neuen Ressource erzwungen oder wenn Sie den Cloud KMS-Schlüssel auf einem vorhandenen . Im Allgemeinen werden sie für alle Ressourcentypen eines Dienstes erzwungen, unterstützen CMEKs und basieren ausschließlich auf der Konfiguration der Ressource. Einige erwähnenswerte Ausnahmen hier zusammengefasst:
Ressourcentyp | Ausnahme für Erzwingung |
---|---|
bigquery.googleapis.com/Dataset |
Teilweise für den Cloud KMS-Standardschlüssel des Datasets erzwungen (nur gcp.restrictCmekCryptoKeyProjects )
|
bigquery.googleapis.com/Job |
Nur Abfragejobs: erzwungen für den mit der Abfrage angegebenen Cloud KMS-Schlüssel oder Standard aus dem Abrechnungsprojekt; siehe auch separate Projektkonfiguration Cloud KMS-Standardschlüssel |
bigquerydatatransfer.googleapis.com/TransferConfig |
Übertragungskonfigurationen verwenden den Dienstnamen des Data Transfer Service (bigquerydatatransfer.googleapis.com) für Einschränkungen von CMEK-Organisationsrichtlinien. |
container.googleapis.com/Cluster |
(Vorschau) Für den Cloud KMS-Schlüssel für den Knotenstart erzwungen nur Laufwerk; nicht für Secrets auf Anwendungsebene erzwungen |
logging.googleapis.com/LogBucket |
Wird für explizit erstellte Log-Buckets erzwungen. siehe auch separate Konfiguration erforderlich, um die Compliance von integrierten Log-Buckets sicherzustellen |
storage.googleapis.com/Bucket |
Für den Cloud KMS-Standardschlüssel eines Buckets erzwungen |
storage.googleapis.com/Object |
Wird unabhängig vom Bucket erzwungen. Siehe auch separate Konfiguration des Cloud KMS-Standardschlüssels für Buckets |
Konfigurationsbeispiele
In den Konfigurationsbeispielen wird davon ausgegangen, dass die Beispielorganisation Folgendes hat: Ressourcenhierarchie:
CMEK für ein Projekt verlangen und Schlüssel begrenzen
Angenommen, Sie möchten einen CMEK-Schutz für alle Cloud Storage-Ressourcen anfordern
unter projects/5
und achten Sie darauf, dass nur Schlüssel aus projects/4
verwendet.
Wenn Sie einen CMEK-Schutz für alle neuen Cloud Storage-Ressourcen anfordern möchten, verwenden Sie die folgende Einstellung für Organisationsrichtlinien:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices
- Bindung um:
projects/5
- Richtlinientyp: Ablehnen
- Richtlinienwert:
storage.googleapis.com
Damit nur Schlüssel aus projects/4
verwendet werden, verwenden Sie die folgende Konfiguration:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects
- Bindung um:
projects/5
- Richtlinientyp: Allow
- Richtlinienwert:
projects/4
CMEK verlangen und Schlüssel auf einen Ordner beschränken
Angenommen, Sie erwarten,
Projekte unter folders/2
in Zukunft und die CMEK breiter erfordern möchten
innerhalb von folders/3
. Für dieses Szenario benötigen Sie etwas andere
Konfigurationen.
Wenn Sie für das neue Cloud SQL und Cloud Storage zusätzlichen CMEK-Schutz anfordern möchten
Ressourcen unter folders/3
:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices
- Bindung um:
folders/3
- Richtlinientyp: Ablehnen
- Richtlinienwerte:
sqladmin.googleapis.com
,storage.googleapis.com
Um sicherzustellen, dass nur Schlüssel aus Cloud KMS-Projekten unter folders/2
sind
verwendet:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects
- Bindung um:
folders/3
- Richtlinientyp: Allow
- Richtlinienwert:
under:folders/2
CMEK für eine Organisation verlangen
Wenn Sie CMEK überall in der Organisation (in unterstützten Diensten) verlangen möchten,
konfigurieren Sie die Einschränkung constraints/gcp.restrictNonCmekServices
mit der
folgende Einstellung:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices
- Bindung um:
organizations/1
- Richtlinientyp: Ablehnen
- Richtlinienwerte: (alle unterstützten Dienste)
Beschränkungen
Wenn Sie die Google Cloud Console zum Erstellen einer Ressource verwenden, werden Sie möglicherweise feststellen,
können nur CMEK verwendet werden, wenn
constraints/gcp.restrictNonCmekServices
ist für ein Projekt konfiguriert und
. Die Einschränkung der CMEK-Organisationsrichtlinie ist nur sichtbar, wenn die
Kundenkonto hat IAM orgpolicy.policy.get
gewährt
Berechtigung für das Projekt.
Nächste Schritte
Siehe Einführung in die Organisationsrichtlinie Dienst finden Sie weitere Informationen zu den Vorteilen und gängigen Anwendungsfällen für Organisationsrichtlinien.
Weitere Beispiele zum Erstellen einer Organisationsrichtlinie mit bestimmten finden Sie unter Verwendung von Einschränkungen.