Cette page a été traduite par l'API Cloud Translation.

Contrôler la destruction d'une version de clé

Google Cloud propose deux contraintes de règle d'administration pour définir la version de clé de destruction dans une organisation:

constraints/cloudkms.minimumDestroyScheduledDuration permet de définir un longueur minimale de la durée de destruction programmée pour les nouvelles clés au sein de l'organisation.
constraints/cloudkms.disableBeforeDestroy permet d'exiger qu'une clé a été désactivée avant de pouvoir programmer sa destruction.

Avant de commencer

Les instructions de cette page partent du principe que vous savez utiliser contraintes et que vous disposez des ressources et des rôles nécessaires.

Ressources requises

Avant de pouvoir effectuer les étapes décrites sur cette page, vous devez disposer des éléments suivants : ressources:

Une entreprise.
(Facultatif) Une ressource de dossier ou de projet au sein de votre organisation.

Rôles requis

Pour obtenir les autorisations nécessaires pour gérer des règles d'administration, demandez à votre administrateur de vous accorder le rôle IAM Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) dans l'organisation. Pour en savoir plus sur l'attribution de rôles, consultez la section Gérer les accès.

Ce rôle prédéfini contient les autorisations requises pour gérer les règles d'administration. Pour connaître les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

Les autorisations suivantes sont requises pour gérer les règles d'administration:

orgpolicy.constraints.list
orgpolicy.policies.create
orgpolicy.policies.delete
orgpolicy.policies.list
orgpolicy.policies.update
orgpolicy.policy.get
orgpolicy.policy.set

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Exiger une durée minimale de destruction programmée

Contrainte Durée minimale de suppression planifiée par clé (constraints/cloudkms.minimumDestroyScheduledDuration) permet de définir un longueur minimale de la durée de destruction programmée pour les nouvelles clés. Ce prévaut sur la durée minimale de destruction programmée au au niveau du projet, du dossier ou de l'organisation. Cette contrainte réduit le risque détruisant accidentellement une clé qui est toujours nécessaire. Vous pouvez définir cette contrainte sur une valeur plus élevée pour vous assurer que vous avez le temps d'empêcher la destruction de la clé avant qu'elles ne deviennent irréversibles.

Utilisez des valeurs plus élevées pour cette contrainte lorsque la destruction indésirable de clés est plus préjudiciables, comme pour les données de production soumises à la conservation exigences. Utilisez des valeurs inférieures pour cette contrainte en cas de destruction non souhaitée de la clé. sont moins nuisibles, par exemple pour les environnements de développement ou de test. Vous pouvez Utilisez également des valeurs inférieures pour permettre le déchiquetage de cryptomonnaie en temps opportun. Toutefois, en tant que minimum, cette contrainte ne peut pas garantir que des clés sont créées avec des les délais de destruction programmée.

Pour définir une durée minimale de destruction programmée, procédez comme suit:

Obtenez la règle actuelle pour la ressource Organisation en utilisant la commande describe. Cette commande renvoie la stratégie directement appliquée à ce ressource:
```
gcloud org-policies describe \
  constraints/cloudkms.minimumDestroyScheduledDuration \
  --organization=ORGANIZATION_ID
```
Remplacez ORGANIZATION_ID par l'identifiant unique de l'élément ressource d'organisation. ID de l'organisation est au format décimal et ne peut pas avoir de zéros au début.

Vous pouvez également afficher la règle d'administration d'un dossier ou d'un projet avec les options --folder ou --project, et l'ID de dossier ou ID du projet, respectivement.

La réponse renvoie la règle d'administration actuelle, le cas échéant. Le résultat ressemble à ce qui suit :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
spec:
  etag: COTP+KYGELiCmsoB
  inheritFromParent: true
  rules:
  - values:
      allowedValues:
      - in:7d
  updateTime: '2023-08-17T14:00:04.424051Z'
```
Si aucune règle n'est définie, la commande describe renvoie une réponse NOT_FOUND. erreur:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Définissez la règle sur l'organisation à l'aide de la commande set-policy. Cette commande écrase toutes les règles actuellement associées à la ressource.
1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
spec:
  rules:
  - values:
      allowedValues:
      - in:MINIMUM_DURATION
```
  Remplacez les éléments suivants :
  - ORGANIZATION_ID: ID numérique de votre organisation.
  - MINIMUM_DURATION: durée minimale de la l'état Destruction programmée des clés de cette organisation ; en jours. Doit correspondre à l'une des valeurs suivantes: 7d, 15d, 30d, 60d, 90d ou 120d.
2. Exécutez la commande set-policy :
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Affichez la règle actuellement en vigueur en utilisant describe --effective. Cette commande renvoie la règle d'administration telle qu'elle est évaluée à ce stade de la hiérarchie des ressources (héritage inclus).
```
gcloud org-policies describe \
  constraints/cloudkms.minimumDestroyScheduledDuration --effective \
  --organization=ORGANIZATION_ID
```
Le résultat ressemble à ce qui suit :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
spec:
  rules:
    - values:
        allowedValues:
        - 30d
        - 15d
        - 90d
        - 60d
        - 7d
        - 120d
```
Comme cette règle d'administration a été définie au niveau de l'organisation, héritée par toutes les ressources enfants qui autorisent l'héritage.

Exiger la désactivation des clés avant destruction

Contrainte Restreindre la destruction de clés aux clés désactivées (constraints/cloudkms.disableBeforeDestroy) vous permet d'exiger qu'une clé a été désactivée avant que vous puissiez programmer sa destruction. Il est recommandé de désactiver une clé avant de la détruire, car elle permet vous aide à vérifier que la clé n'est pas utilisée. Vous pouvez combiner à l'aide d'une stratégie Identity and Access Management minutieuse permettant de créer de destruction qui nécessite la coopération de plusieurs rôles.

Pour utiliser cette contrainte afin de créer un processus de destruction en plusieurs étapes, assurez-vous qu'aucun utilisateur ne dispose à la fois des champs cloudkms.cryptoKeyVersions.update et Autorisations cloudkms.cryptoKeyVersions.destroy. Ce cas d'utilisation nécessite vous devez utiliser des rôles personnalisés.

exiger qu'une clé soit à l'état désactivée avant de pouvoir la programmer ; de destruction, procédez comme suit:

gcloud

Obtenez la règle actuelle pour la ressource Organisation en utilisant la commande describe. Cette commande renvoie la stratégie directement appliquée à ce ressource:
```
gcloud org-policies describe \
  constraints/cloudkms.disableBeforeDestroy \
  --organization=ORGANIZATION_ID
```
Remplacez ORGANIZATION_ID par l'identifiant unique de l'élément ressource d'organisation. ID de l'organisation est au format décimal et ne peut pas avoir de zéros au début.

Vous pouvez également afficher la règle d'administration d'un dossier ou d'un projet avec les options --folder ou --project, et l'ID de dossier ; ou ID du projet, respectivement.

La réponse renvoie la règle d'administration actuelle, le cas échéant. Le résultat ressemble à ce qui suit :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy
spec:
  etag: CPvY+KYGENDwgxA=
  rules:
  - enforce: true
  updateTime: '2023-08-17T14:19:39.033618Z'
```
Si aucune règle n'est définie, la commande describe renvoie une réponse NOT_FOUND. erreur:
```
ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
```
Définissez la règle sur l'organisation à l'aide de la commande set-policy. Ce écrase toute stratégie déjà associée à la ressource.
1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy
spec:
  rules:
  - enforce: true
```
  Remplacez ORGANIZATION_ID par l'identifiant unique du ressource d'organisation.
2. Exécutez la commande set-policy :
```
gcloud org-policies set-policy /tmp/policy.yaml
```
Affichez la règle actuellement en vigueur en utilisant describe --effective. Cette commande renvoie la règle d'administration telle qu'elle est évaluée à ce stade de la hiérarchie des ressources (héritage inclus).
```
gcloud org-policies describe \
  constraints/cloudkms.disableBeforeDestroy --effective \
  --organization=ORGANIZATION_ID
```
Le résultat ressemble à ce qui suit :
```
name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
spec:
  rules:
  - enforce: true
```
Comme cette règle d'administration a été définie au niveau de l'organisation, est héritée par toutes les ressources enfants qui autorisent l'héritage.

Étape suivante

En savoir plus sur les états des versions de clé
Détruire et restaurer une version de clé