Criteri dell'organizzazione CMEK

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Google Cloud offre due vincoli dei criteri dell'organizzazione per garantire l'utilizzo di CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects consente di limitare le chiavi Cloud KMS utilizzate per la protezione CMEK.

I criteri dell'organizzazione CMEK si applicano solo alle risorse create di recente all'interno dei servizi Google Cloud supportati.

Richiedi protezione CMEK

Per richiedere la protezione CMEK per la tua organizzazione, configura il criterio dell'organizzazione constraints/gcp.restrictNonCmekServices.

Come vincolo di elenco, i valori accettati per questo vincolo sono nomi di servizio Google Cloud (ad esempio sqladmin.googleapis.com). Configurando un elenco di nomi di servizi Google Cloud e impostando il vincolo su Nega, puoi rifiutare la creazione di risorse che non utilizza CMEK nei servizi configurati. In altre parole, le richieste di creazione di una risorsa nel servizio non vanno a buon fine senza specificare una chiave Cloud KMS. Questo vincolo può essere applicato solo ai servizi supportati.

Limita l'uso delle chiavi Cloud KMS per CMEK

Per limitare le chiavi Cloud KMS utilizzate per la protezione CMEK, configura il vincolo constraints/gcp.restrictCmekCryptoKeyProjects.

Come vincolo di elenco, i valori accettati sono indicatori della gerarchia di risorse (ad esempio projects/PROJECT_ID, under:folders/FOLDER_ID e under:organizations/ORGANIZATION_ID). Configurando un elenco di indicatori di gerarchia delle risorse e impostando il vincolo su Consenti, puoi limitare i servizi supportati in modo da utilizzare le chiavi solo nei progetti, nelle cartelle e nelle organizzazioni elencati per la protezione CMEK. Le richieste per creare una risorsa protetta da CMEK nei servizi configurati non riescono senza specificare una chiave Cloud KMS da una delle organizzazioni, progetti o cartelle consentiti. Se configurato, questo vincolo si applica a tutti i servizi supportati.

Servizi supportati

Servizio Valore del vincolo quando è richiesta la chiave CMEK
Artifact Registry artifactregistry.googleapis.com
BigQuery bigquery.googleapis.com
Cloud Bigtable bigtable.googleapis.com
Cloud Composer composer.googleapis.com
Compute Engine compute.googleapis.com
Google Kubernetes EngineANTEPRIMA container.googleapis.com
Dataflow dataflow.googleapis.com
Cloud Logging logging.googleapis.com
Pub/Sub pubsub.googleapis.com
Cloud Spanner spanner.googleapis.com
Cloud SQL sqladmin.googleapis.com
Cloud Storage storage.googleapis.com

Eccezioni all'applicazione per tipo di risorsa

I vincoli dei criteri dell'organizzazione CMEK vengono applicati quando si crea una nuova risorsa o quando si modifica (se supportata) la chiave Cloud KMS in una risorsa esistente. In genere sono applicate a tutti i tipi di risorse di un servizio che supportano CMEK e si basano esclusivamente sulla configurazione della risorsa. Alcune eccezioni degne di nota sono riassunte qui:

Tipo di risorsa Eccezione all'applicazione
bigquery.googleapis.com/Dataset Applicata parzialmente alla chiave Cloud KMS predefinita del set di dati (solo gcp.restrictCmekCryptoKeyProjects)
bigquery.googleapis.com/Job Solo job di query: applicati sulla chiave Cloud KMS fornita con la query o per impostazione predefinita dal progetto di fatturazione; consulta anche la configurazione separata della chiave di Cloud KMS predefinita del progetto
compute.googleapis.com/Instance Applicata in base al disco di avvio configurato
container.googleapis.com/Cluster (Anteprima) Applicata alla chiave Cloud KMS solo per il disco di avvio del nodo; non applicata ai secret a livello di applicazione
logging.googleapis.com/LogBucket Applicata a bucket di log creati in modo esplicito; consulta anche la configurazione separata per garantire la conformità dei bucket di log integrati
storage.googleapis.com/Bucket Applicata alla chiave Cloud KMS predefinita del bucket
storage.googleapis.com/Object Applicata indipendentemente dal bucket; consulta anche la configurazione separata della chiave Cloud KMS predefinita del bucket

Esempi di configurazione

Negli esempi di configurazione, supponiamo che l'organizzazione di esempio abbia la seguente gerarchia di risorse:

Diagramma di una gerarchia di risorse dell'organizzazione

Richiedi chiavi CMEK e limite per un progetto

Supponi di voler richiedere la protezione CMEK per tutte le risorse Cloud Storage al di sotto di projects/5 e di assicurarti che possano essere utilizzate solo le chiavi provenienti da projects/4.

Per richiedere la protezione CMEK per tutte le nuove risorse Cloud Storage, utilizza la seguente impostazione dei criteri dell'organizzazione:

  • Criterio dell'organizzazione: constraints/gcp.restrictNonCmekServices
  • Associazione a: projects/5
  • Tipo di criterio: Nega
  • Valore del criterio: storage.googleapis.com

Per assicurarti che vengano utilizzate solo le chiavi di projects/4, utilizza la configurazione seguente:

  • Criterio dell'organizzazione: constraints/gcp.restrictCmekCryptoKeyProjects
  • Associazione a: projects/5
  • Tipo di criterio: Consenti
  • Valore del criterio: projects/4

Richiedi CMEK e limita le chiavi a una cartella

In alternativa, supponi di voler aggiungere altri progetti Cloud KMS in folders/2 in futuro e di voler richiedere CMEK in modo più ampio all'interno di folders/3. Per questo scenario, avrai bisogno di configurazioni leggermente diverse.

Per richiedere una protezione CMEK aggiuntiva per le nuove risorse Cloud SQL e Cloud Storage in qualsiasi punto in folders/3:

  • Criterio dell'organizzazione: constraints/gcp.restrictNonCmekServices
  • Associazione a: folders/3
  • Tipo di criterio: Nega
  • Valori del criterio: sqladmin.googleapis.com, storage.googleapis.com

Per assicurarti che vengano utilizzate solo le chiavi dei progetti Cloud KMS in folders/2:

  • Criterio dell'organizzazione: constraints/gcp.restrictCmekCryptoKeyProjects
  • Associazione a: folders/3
  • Tipo di criterio: Consenti
  • Valore del criterio: under:folders/2

Richiedi CMEK per un'organizzazione

Per richiedere CMEK in qualsiasi punto dell'organizzazione (nei servizi supportati), configura il vincolo constraints/gcp.restrictNonCmekServices con la seguente impostazione:

  • Criterio dell'organizzazione: constraints/gcp.restrictNonCmekServices
  • Associazione a: organizations/1
  • Tipo di criterio: Nega
  • Valori dei criteri: (tutti i servizi supportati)

Limitazioni

Se utilizzi Google Cloud Console per creare una risorsa, potresti notare che non puoi utilizzare opzioni di crittografia diverse da CMEK quando constraints/gcp.restrictNonCmekServices è configurato per un progetto e un servizio. La restrizione del criterio dell'organizzazione CMEK è visibile solo quando all'account cliente è stata concessa l'autorizzazione IAM di orgpolicy.policy.get nel progetto.

Passaggi successivi

Consulta Introduzione al servizio Criteri dell'organizzazione per saperne di più sui vantaggi e sui casi d'uso comuni dei criteri dell'organizzazione.

Per altri esempi sulla creazione di un criterio dell'organizzazione con vincoli specifici, consulta la sezione Utilizzo dei vincoli.