Google Cloud menawarkan dua batasan kebijakan organisasi untuk membantu memastikan penggunaan CMEK di seluruh organisasi:
constraints/gcp.restrictNonCmekServicesdigunakan untuk mewajibkan perlindungan CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsdigunakan untuk membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK.
Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan Google Cloud yang didukung.
Peran yang diperlukan
Guna memastikan bahwa setiap pengguna memiliki izin yang diperlukan untuk memeriksa kebijakan organisasi saat membuat resource, minta administrator Anda untuk memberi setiap pengguna peran IAM Organization Policy Viewer (roles/orgpolicy.policyViewer) di organisasi Anda.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk memeriksa kebijakan organisasi saat membuat resource. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk memeriksa kebijakan organisasi saat membuat resource:
-
Untuk melihat detail lengkap kebijakan organisasi:
orgpolicy.policy.get -
Untuk memeriksa kebijakan organisasi saat membuat resource:
orgpolicy.policies.check
Administrator Anda mungkin juga dapat memberi setiap pengguna izin ini dengan peran khusus atau peran standar lainnya.
Saat kebijakan organisasi aktif, izin orgpolicy.policies.check
diperlukan untuk pengguna konsol Google Cloud yang membuat resource yang
dilindungi oleh kunci CMEK. Pengguna tanpa izin ini dapat membuat resource yang dilindungi CMEK menggunakan Konsol Google Cloud, tetapi mereka dapat memilih kunci CMEK yang tidak diizinkan oleh batasan restrictCmekCryptoKeyProjects. Saat kunci yang
tidak memenuhi batasan ini dipilih, pembuatan resource pada akhirnya akan gagal.
Memerlukan perlindungan CMEK
Guna mewajibkan perlindungan CMEK untuk organisasi Anda, konfigurasikan
kebijakan organisasi constraints/gcp.restrictNonCmekServices.
Sebagai batasan daftar, nilai yang diterima untuk batasan ini adalah nama layanan Google Cloud (misalnya, sqladmin.googleapis.com). Gunakan batasan ini dengan memberikan daftar nama layanan Google Cloud dan menetapkan batasan ke Deny. Konfigurasi ini memblokir pembuatan resource dalam layanan ini jika resource tersebut tidak dilindungi oleh CMEK. Dengan kata lain, permintaan untuk membuat resource dalam layanan tidak akan berhasil tanpa menentukan kunci Cloud KMS. Selain itu, batasan ini memblokir penghapusan perlindungan CMEK dari resource dalam layanan ini. Batasan ini hanya dapat diterapkan pada layanan yang didukung.
Membatasi penggunaan kunci Cloud KMS untuk CMEK
Untuk membatasi kunci Cloud KMS yang digunakan untuk perlindungan CMEK, konfigurasikan batasan constraints/gcp.restrictCmekCryptoKeyProjects.
Sebagai batasan daftar, nilai yang diterima adalah indikator hierarki resource (misalnya
projects/PROJECT_ID, under:folders/FOLDER_ID, dan
under:organizations/ORGANIZATION_ID). Gunakan batasan ini dengan mengonfigurasi
daftar indikator hierarki resource dan menetapkan batasan ke Izinkan.
Konfigurasi ini membatasi layanan yang didukung sehingga kunci CMEK hanya dapat dipilih dari project, folder, dan organisasi yang tercantum. Permintaan untuk membuat resource yang dilindungi CMEK dalam layanan yang dikonfigurasi tidak akan berhasil tanpa kunci Cloud KMS dari salah satu resource yang diizinkan. Jika sudah dikonfigurasi, batasan ini berlaku untuk semua layanan yang didukung.
Layanan yang didukung
| Layanan | Nilai batasan saat mewajibkan CMEK |
|---|---|
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Functions | cloudfunctions.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Document AI | documentai.googleapis.com |
| Filestore | file.googleapis.com |
| Google Kubernetes Engine (Pratinjau) | container.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Spanner | spanner.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Instance Vertex AI Workbench | notebooks.googleapis.com |
Pengecualian penerapan berdasarkan jenis resource
Batasan kebijakan organisasi CMEK diterapkan saat membuat resource baru atau saat mengubah (jika didukung) kunci Cloud KMS pada resource yang ada. Umumnya, opsi ini diterapkan pada semua jenis resource layanan yang mendukung CMEK dan hanya didasarkan pada konfigurasi resource. Beberapa pengecualian penting dirangkum di sini:
| Jenis aset | Pengecualian penegakan |
|---|---|
bigquery.googleapis.com/Dataset |
Diterapkan sebagian pada kunci Cloud KMS default set data (khusus gcp.restrictCmekCryptoKeyProjects)
|
bigquery.googleapis.com/Job |
Khusus tugas kueri: diterapkan pada kunci Cloud KMS yang disediakan dengan kueri atau default dari project penagihan; lihat juga konfigurasi kunci Cloud KMS default project yang terpisah |
bigquerydatatransfer.googleapis.com/TransferConfig |
Konfigurasi transfer menggunakan nama layanan Data Transfer Service (bigquerydatatransfer.googleapis.com) untuk batasan kebijakan organisasi CMEK. |
container.googleapis.com/Cluster |
(Pratinjau) Diterapkan pada kunci Cloud KMS hanya untuk disk booting node; tidak diterapkan pada secret di lapisan aplikasi |
logging.googleapis.com/LogBucket |
Diterapkan pada bucket log yang dibuat secara eksplisit; lihat juga konfigurasi terpisah yang diperlukan untuk memastikan kepatuhan bucket log bawaan |
storage.googleapis.com/Bucket |
Diterapkan pada kunci Cloud KMS default bucket |
storage.googleapis.com/Object |
Diterapkan secara terpisah dari bucket; lihat juga konfigurasi terpisah untuk kunci Cloud KMS default bucket |
Contoh konfigurasi
Dalam contoh konfigurasi, asumsikan organisasi contoh memiliki hierarki resource berikut:
Mewajibkan CMEK dan membatasi kunci untuk sebuah project
Misalkan Anda ingin mewajibkan perlindungan CMEK untuk semua resource Cloud Storage pada projects/5 dan memastikan hanya kunci yang berasal dari projects/4 yang dapat digunakan.
Guna mewajibkan perlindungan CMEK untuk semua resource Cloud Storage baru, gunakan setelan kebijakan organisasi berikut:
- Kebijakan organisasi:
constraints/gcp.restrictNonCmekServices - Binding pada:
projects/5 - Jenis kebijakan: Tolak
- Nilai kebijakan:
storage.googleapis.com
Untuk memastikan hanya kunci dari projects/4 yang digunakan, gunakan konfigurasi berikut:
- Kebijakan organisasi:
constraints/gcp.restrictCmekCryptoKeyProjects - Binding pada:
projects/5 - Jenis kebijakan: Allow
- Nilai kebijakan:
projects/4
Mewajibkan CMEK dan membatasi kunci hanya di dalam folder
Atau, anggaplah Anda ingin menambahkan project Cloud KMS lain dalam folders/2 di masa mendatang dan ingin mewajibkan CMEK secara lebih luas dalam folders/3. Untuk skenario ini, Anda memerlukan konfigurasi
yang sedikit berbeda.
Guna mewajibkan perlindungan CMEK tambahan untuk resource Cloud SQL dan Cloud Storage baru di mana saja pada folders/3:
- Kebijakan organisasi:
constraints/gcp.restrictNonCmekServices - Binding pada:
folders/3 - Jenis kebijakan: Tolak
- Nilai kebijakan:
sqladmin.googleapis.com,storage.googleapis.com
Untuk memastikan hanya kunci dari project Cloud KMS di bawah folders/2 yang digunakan:
- Kebijakan organisasi:
constraints/gcp.restrictCmekCryptoKeyProjects - Binding pada:
folders/3 - Jenis kebijakan: Allow
- Nilai kebijakan:
under:folders/2
Mewajibkan CMEK untuk organisasi
Untuk mewajibkan CMEK di mana saja dalam organisasi (di layanan yang didukung),
konfigurasikan batasan constraints/gcp.restrictNonCmekServices dengan
setelan berikut:
- Kebijakan organisasi:
constraints/gcp.restrictNonCmekServices - Binding pada:
organizations/1 - Jenis kebijakan: Tolak
- Nilai kebijakan: (semua layanan yang didukung)
Batasan
Jika menggunakan konsol Google Cloud untuk membuat resource, Anda mungkin melihat bahwa Anda tidak dapat menggunakan opsi enkripsi selain CMEK saat constraints/gcp.restrictNonCmekServices dikonfigurasi untuk sebuah project dan layanan. Pembatasan kebijakan organisasi CMEK hanya terlihat jika akun pelanggan telah diberi izin IAM orgpolicy.policy.get pada project tersebut.
Langkah selanjutnya
Lihat Pengantar Layanan Kebijakan Organisasi untuk mempelajari lebih lanjut manfaat dan kasus penggunaan umum untuk kebijakan organisasi.
Untuk contoh lainnya tentang cara membuat kebijakan organisasi dengan batasan tertentu, lihat Menggunakan batasan.