Google Cloud 提供两种组织政策限制条件来设置密钥版本 整个组织的销毁政策:
constraints/cloudkms.minimumDestroyScheduledDuration用于设置 新密钥已安排销毁时长的最小长度 组织内部人员。constraints/cloudkms.disableBeforeDestroy用于要求必须具备 在可以安排销毁之前已停用该版本。
准备工作
本页面中的说明假定您熟悉如何使用 限制条件和 确保您拥有所需的资源和角色。
所需的资源
在完成本页面中的步骤之前,您必须拥有以下资源: 资源:
- 组织。
- 可选:组织中的文件夹或项目资源。
所需的角色
如需获取管理组织政策所需的权限,
请让管理员授予您
Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。
如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含 管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需管理组织政策,您必须拥有以下权限:
-
orgpolicy.constraints.list -
orgpolicy.policies.create -
orgpolicy.policies.delete -
orgpolicy.policies.list -
orgpolicy.policies.update -
orgpolicy.policy.get -
orgpolicy.policy.set
要求最短安排销毁时长
每个密钥的最短安排销毁时长限制条件
(constraints/cloudkms.minimumDestroyScheduledDuration) 用于设置
新密钥已安排销毁时长的最小长度。这个
项目、文件夹或组织级别的数据。此约束条件可降低
意外销毁仍然需要的密钥。您可以设置这个限制条件
设置为一个更大的值,以确保您有足够的时间来防止密钥销毁
然后才能将其不可撤消
会造成不必要的密钥销毁时,为此约束条件使用较高的值 危害性更大的产品,例如受数据保留的生产数据 要求。在发生不必要的密钥销毁时,为此限制条件使用较低的值 对开发或测试环境造成危害。您可以 也使用较小的值,以便及时销毁加密货币。不过,作为 下限值,则此限制条件无法保证使用 计划销毁持续时间。
如需要求最短安排销毁时长,请按以下步骤操作:
使用
describe命令获取组织资源的当前政策。此命令会返回直接应用于 资源:gcloud org-policies describe \ constraints/cloudkms.minimumDestroyScheduledDuration \ --organization=ORGANIZATION_ID将
ORGANIZATION_ID替换为 组织资源。组织 ID 格式为十进制数字,且不能以零开头。您还可以使用
--folder或--project标志以及文件夹 ID 或 项目 ID。响应将返回当前的组织政策(如果存在)。 输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: etag: COTP+KYGELiCmsoB inheritFromParent: true rules: - values: allowedValues: - in:7d updateTime: '2023-08-17T14:00:04.424051Z'如果未设置政策,
describe命令将返回NOT_FOUND错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.使用
set-policy命令针对组织设置政策。此命令会覆盖当前附加至该资源的所有政策。创建临时文件
/tmp/policy.yaml以存储政策:name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: rules: - values: allowedValues: - in:MINIMUM_DURATION替换以下内容:
ORGANIZATION_ID:您的组织的数字 ID。MINIMUM_DURATION: 此组织中密钥的已安排销毁状态, 天后。必须是以下值之一:7d、15d30d、60d、90d或120d。
运行
set-policy命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective查看当前的有效政策。 此命令会返回组织政策,因为此时它是在包含继承政策的资源层次结构中进行评估。gcloud org-policies describe \ constraints/cloudkms.minimumDestroyScheduledDuration --effective \ --organization=ORGANIZATION_ID输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: rules: - values: allowedValues: - 30d - 15d - 90d - 60d - 7d - 120d由于此组织政策在组织级别设置,因此 允许所有允许其关联的子资源继承的 继承。
要求在销毁前停用密钥
限制密钥销毁仅停用的密钥限制条件
(constraints/cloudkms.disableBeforeDestroy) 可让您要求
密钥已停用,然后才能安排销毁密钥。
在销毁密钥之前将其停用是推荐的最佳做法,因为它
可帮助您验证密钥是否未在使用。您可以将这些
使用谨慎的 Identity and Access Management 政策创建多步骤限制条件
销毁过程。
要使用此限制条件创建多步销毁过程,请确保
没有用户同时拥有 cloudkms.cryptoKeyVersions.update 和
cloudkms.cryptoKeyVersions.destroy 权限。此用例要求
您可以使用自定义角色。
要求必须让密钥处于已停用状态,您才能安排密钥 请按以下步骤操作:
gcloud
使用
describe命令获取组织资源的当前政策。此命令会返回直接应用于 资源:gcloud org-policies describe \ constraints/cloudkms.disableBeforeDestroy \ --organization=ORGANIZATION_ID将
ORGANIZATION_ID替换为 组织资源。组织 ID 格式为十进制数字,且不能以零开头。您还可以使用
--folder或--project标志以及文件夹 ID 或项目 ID。响应将返回当前的组织政策(如果存在)。输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy spec: etag: CPvY+KYGENDwgxA= rules: - enforce: true updateTime: '2023-08-17T14:19:39.033618Z'如果未设置政策,
describe命令将返回NOT_FOUND错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.使用
set-policy命令针对组织设置政策。这个 命令会覆盖已附加到资源的任何政策。创建临时文件
/tmp/policy.yaml以存储政策:name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy spec: rules: - enforce: true将
ORGANIZATION_ID替换为 组织资源。运行
set-policy命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective查看当前的有效政策。 此命令会返回组织政策,因为此时它是在包含继承政策的资源层次结构中进行评估。gcloud org-policies describe \ constraints/cloudkms.disableBeforeDestroy --effective \ --organization=ORGANIZATION_ID输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: rules: - enforce: true由于此组织政策在组织级别设置,因此它 允许所有允许其资源的子资源继承 继承。