Google Cloud 提供两种组织政策限制条件,用于在整个组织中设置密钥版本销毁政策:
constraints/cloudkms.minimumDestroyScheduledDuration
用于设置组织内新密钥的计划销毁时长的最小长度。constraints/cloudkms.disableBeforeDestroy
用于要求密钥版本已停用,然后才能安排销毁。
准备工作
本页面中的说明假定您熟悉使用限制条件,并且拥有所需的资源和角色。
所需的资源
在完成本页面中的步骤之前,您必须具备以下资源:
- 组织。
- 可选:组织中的文件夹或项目资源。
所需的角色
如需获得管理组织政策所需的权限,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin
) IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限。
此预定义角色包含管理组织政策所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需管理组织政策,您必须拥有以下权限:
-
orgpolicy.constraints.list
-
orgpolicy.policies.create
-
orgpolicy.policies.delete
-
orgpolicy.policies.list
-
orgpolicy.policies.update
-
orgpolicy.policy.get
-
orgpolicy.policy.set
要求有最短安排销毁时长
每个密钥的安排销毁时长下限限制条件 (constraints/cloudkms.minimumDestroyScheduledDurations
) 用于设置新密钥安排销毁时长的最小长度。此限制条件会覆盖项目、文件夹或组织级层的最短安排销毁时长。此限制条件可降低意外销毁仍然需要的密钥的可能性。您可以将此限制条件设置为更高的值,以确保在密钥销毁变得不可逆转之前,您有时间防止密钥销毁。
如果不必要的密钥销毁操作有害程度更高(例如,对于需要保留数据的生产数据),请为该限制条件使用较高的值。如果不必要的密钥销毁(例如对于开发或测试环境)的危害较小,请为此限制使用较低的值。您还可以使用较低的值来允许及时加密货币分解。但是,作为最小值,此限制条件无法保证以较短的安排销毁时长创建新密钥。
如需要求最短安排销毁时长,请按以下步骤操作:
使用
describe
命令获取组织资源的当前政策。此命令会返回直接应用于该资源的政策:gcloud org-policies describe \ constraints/cloudkms.minimumDestroyScheduledDurations \ --organization=ORGANIZATION_ID
将
ORGANIZATION_ID
替换为组织资源的唯一标识符。组织 ID 采用十进制数字的格式,并且不能有前导零。您还可以查看带有
--folder
或--project
标志以及文件夹 ID 或项目 ID 的文件夹或项目的组织政策。响应会返回当前的组织政策(如果存在)。输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: etag: COTP+KYGELiCmsoB inheritFromParent: true rules: - values: allowedValues: - in:7d updateTime: '2023-08-17T14:00:04.424051Z'
如果未设置政策,
describe
命令会返回NOT_FOUND
错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
使用
set-policy
命令针对组织设置政策。此命令会覆盖当前附加至该资源的所有政策。创建临时文件
/tmp/policy.yaml
以存储政策:name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration spec: rules: - values: allowedValues: - in:MINIMUM_DURATION
替换以下内容:
ORGANIZATION_ID
:您的组织的数字 ID。MINIMUM_DURATION
:此组织中密钥处于已安排销毁状态的最短时长(以天为单位)。必须是以下值之一:7d
、15d
、30d
、60d
、90d
或120d
。
运行
set-policy
命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective
查看当前的有效政策。 此命令会返回组织政策,因为此时它是在包含继承政策的资源层次结构中进行评估。gcloud org-policies describe \ constraints/cloudkms.minimumDestroyScheduledDurations --effective \ --organization=ORGANIZATION_ID
输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDurations spec: rules: - values: allowedValues: - 30d - 15d - 90d - 60d - 7d - 120d
由于此组织政策是在组织级别设置的,因此允许继承的所有子资源都会继承该政策。
要求在销毁前停用密钥
通过将密钥销毁限制为已停用的密钥限制条件 (constraints/cloudkms.disableBeforeDestroy
),您可以要求必须先停用密钥,然后才能安排销毁密钥。建议在销毁密钥之前先将其停用,因为它有助于您验证密钥是否未被使用。您可以将此限制条件与谨慎的 Identity and Access Management 政策相结合,以创建需要多个角色合作的多步骤销毁流程。
如需使用此限制条件创建多步骤销毁流程,请确保没有任何用户同时拥有 cloudkms.cryptoKeyVersions.update
和 cloudkms.cryptoKeyVersions.destroy
权限。此使用场景要求您使用自定义角色。
如需要求密钥处于已停用状态,然后才能安排销毁密钥,请按以下步骤操作:
gcloud
使用
describe
命令获取组织资源的当前政策。此命令会返回直接应用于该资源的政策:gcloud org-policies describe \ constraints/cloudkms.disableBeforeDestroy \ --organization=ORGANIZATION_ID
将
ORGANIZATION_ID
替换为组织资源的唯一标识符。组织 ID 采用十进制数字的格式,并且不能有前导零。您还可以查看带有
--folder
或--project
标志以及文件夹 ID 或项目 ID 的文件夹或项目的组织政策。响应会返回当前的组织政策(如果存在)。输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy spec: etag: CPvY+KYGENDwgxA= rules: - enforce: true updateTime: '2023-08-17T14:19:39.033618Z'
如果未设置政策,
describe
命令会返回NOT_FOUND
错误:ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
使用
set-policy
命令针对组织设置政策。此命令会覆盖已附加到资源的任何政策。创建临时文件
/tmp/policy.yaml
以存储政策:name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy spec: rules: - enforce: true
将
ORGANIZATION_ID
替换为组织资源的唯一标识符。运行
set-policy
命令:gcloud org-policies set-policy /tmp/policy.yaml
使用
describe --effective
查看当前的有效政策。 此命令会返回组织政策,因为此时它是在包含继承政策的资源层次结构中进行评估。gcloud org-policies describe \ constraints/cloudkms.disableBeforeDestroy --effective \ --organization=ORGANIZATION_ID
输出类似于以下内容:
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDurations spec: rules: - enforce: true
由于此组织政策是在组织级别设置的,因此允许继承的所有子资源都会继承该政策。