Löschen von Schlüsselversionen steuern

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien zum Festlegen der Schlüsselversion Richtlinien zur Datenlöschung in einer Organisation:

  • Mit constraints/cloudkms.minimumDestroyScheduledDuration wird Folgendes festgelegt: Mindestlänge der zum Löschen vorgemerkten Dauer neuer Schlüssel innerhalb des Unternehmens.
  • Mit constraints/cloudkms.disableBeforeDestroy wird verlangt, dass ein Schlüssel Version deaktiviert wurde, bevor sie zum Löschen geplant werden kann.

Hinweise

Die Anleitung auf dieser Seite setzt voraus, dass Sie mit der Verwendung der Einschränkungen und ob Sie die erforderlichen Ressourcen und Rollen haben.

Erforderliche Ressourcen

Bevor Sie die Schritte auf dieser Seite ausführen können, benötigen Sie die folgenden Ressourcen:

  • Eine Organisation.
  • Optional: Ein Ordner oder eine Projektressource in Ihrer Organisation.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten von Organisationsrichtlinien erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind zum Verwalten von Organisationsrichtlinien erforderlich:

  • orgpolicy.constraints.list
  • orgpolicy.policies.create
  • orgpolicy.policies.delete
  • orgpolicy.policies.list
  • orgpolicy.policies.update
  • orgpolicy.policy.get
  • orgpolicy.policy.set

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Mindestdauer für das geplante Löschen festlegen

Die Einschränkung Minimale geplante Dauer für das Löschen pro Schlüssel (constraints/cloudkms.minimumDestroyScheduledDuration) wird verwendet, um ein Mindestlänge des geplanten Löschens neuer Schlüssel. Dieses die für das Löschen vorgemerkte Mindestdauer (zum Löschen vorgemerkt) bei der Projekt-, Ordner- oder Organisationsebene. Dadurch wird das Risiko verringert, dass ein noch benötigter Schlüssel versehentlich gelöscht wird. Sie können diese Beschränkung festlegen einen höheren Wert, damit Sie Zeit haben, das Löschen von Schlüsseln zu verhindern bevor er irreversibel wird.

Verwenden Sie höhere Werte für diese Einschränkung, wenn ein unerwünschter Schlüssel gelöscht werden würde schädlicher sein, z. B. für Produktionsdaten, die einer Vorratsdatenspeicherung unterliegen Anforderungen. Niedrigere Werte für diese Einschränkung verwenden, wenn Schlüssel ungewollt gelöscht werden wäre weniger schädlich, wie bei Entwicklungs- oder Testumgebungen. Sie können Verwenden Sie auch niedrigere Werte, um ein zeitnahes Krypto-Shredding zu ermöglichen. Als Fachkraft für Datenanalyse minimum angeben, kann mit dieser Einschränkung nicht sichergestellt werden, dass neue Schlüssel mit einem niedrigen Wert erstellt werden. zum Löschen vorgemerkt haben.

So legen Sie eine Mindestdauer für das geplante Löschen fest:

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab. Dieser Befehl gibt die Richtlinie zurück, die direkt auf Ressource:

    gcloud org-policies describe \
      constraints/cloudkms.minimumDestroyScheduledDuration \
      --organization=ORGANIZATION_ID
    

    Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung der Organisationsressource. Die Organisations-ID ist als Dezimalzahl formatiert und darf keine führenden Nullen enthalten.

    Sie können auch die Organisationsrichtlinie für einen Ordner oder ein Projekt mit das Flag --folder oder --project und die Ordner-ID oder Projekt-ID.

    Die Antwort gibt die aktuelle Organisationsrichtlinie zurück, sofern vorhanden. Die Ausgabe sieht in etwa so aus:

    name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
    spec:
      etag: COTP+KYGELiCmsoB
      inheritFromParent: true
      rules:
      - values:
          allowedValues:
          - in:7d
      updateTime: '2023-08-17T14:00:04.424051Z'
    

    Wenn keine Richtlinie festgelegt ist, gibt der Befehl describe eine NOT_FOUND zurück. Fehler:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Legen Sie die Richtlinie für die Organisation mit dem Befehl set-policy fest. Dieser Befehl überschreibt alle Richtlinien, die derzeit an die Ressource angehängt sind.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
      spec:
        rules:
        - values:
            allowedValues:
            - in:MINIMUM_DURATION
      

      Ersetzen Sie Folgendes:

      • ORGANIZATION_ID: die numerische ID Ihrer Organisation.
      • MINIMUM_DURATION: die Mindestdauer für die Status zum Löschen vorgemerkt für Schlüssel in dieser Organisation, in Tagen. Muss einer der folgenden Werte sein: 7d, 15d, 30d, 60d, 90d oder 120d.
    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf: Durch diesen Befehl wird die Organisationsrichtlinie zurückgegeben, wie sie zu diesem Zeitpunkt in der Ressourcenhierarchie einschließlich Übernahme evaluiert wird.

    gcloud org-policies describe \
      constraints/cloudkms.minimumDestroyScheduledDuration --effective \
      --organization=ORGANIZATION_ID
    

    Die Ausgabe sieht in etwa so aus:

    name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
    spec:
      rules:
        - values:
            allowedValues:
            - 30d
            - 15d
            - 90d
            - 60d
            - 7d
            - 120d
    

    Da diese Organisationsrichtlinie auf Organisationsebene festgelegt wurde, ist sie von allen untergeordneten Ressourcen übernommen, die die Vererbung.

Schlüssel müssen vor der Vernichtung deaktiviert werden

Einschränkung Löschen von Schlüsseln auf deaktivierte Schlüssel beschränken (constraints/cloudkms.disableBeforeDestroy) ermöglicht es Ihnen, , dass ein Schlüssel deaktiviert wurde, bevor Sie das Löschen des Schlüssels planen können. Das Deaktivieren eines Schlüssels vor dem Löschen wird empfohlen, da können Sie überprüfen, ob der Schlüssel nicht verwendet wird. Sie können diese Einschränkung mit einer sorgfältigen Richtlinie für Identity and Access Management, um eine mehrstufige Zerstörungsprozess, der die Zusammenarbeit mehrerer Rollen erfordert.

Wenn Sie diese Einschränkung zum Erstellen eines mehrstufigen Löschprozesses verwenden möchten, müssen Sie sicherstellen, dass kein Nutzer sowohl das cloudkms.cryptoKeyVersions.update als auch das cloudkms.cryptoKeyVersions.destroy-Berechtigungen. Dieser Anwendungsfall erfordert, dass verwenden Sie benutzerdefinierte Rollen.

Wenn Sie festlegen möchten, dass ein Schlüssel deaktiviert ist, bevor Sie ihn planen können führen Sie die folgenden Schritte aus:

gcloud

  1. Rufen Sie mit dem Befehl describe die aktuelle Richtlinie für die Organisationsressource ab. Dieser Befehl gibt die Richtlinie zurück, die direkt auf Ressource:

    gcloud org-policies describe \
      constraints/cloudkms.disableBeforeDestroy \
      --organization=ORGANIZATION_ID
    

    Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung der Organisationsressource. Organisations-ID ist als Dezimalzahl formatiert und darf keine führenden Nullen enthalten.

    Sie können die Organisationsrichtlinie für einen Ordner oder ein Projekt auch mit den Flags --folder oder --project und der entsprechenden Ordner-ID bzw. Projekt-ID aufrufen.

    Die Antwort gibt die aktuelle Organisationsrichtlinie zurück, sofern vorhanden. Die entsprechende Ausgabe sieht etwa so aus:

    name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy
    spec:
      etag: CPvY+KYGENDwgxA=
      rules:
      - enforce: true
      updateTime: '2023-08-17T14:19:39.033618Z'
    

    Wenn keine Richtlinie festgelegt ist, gibt der Befehl describe eine NOT_FOUND zurück. Fehler:

    ERROR: (gcloud.org-policies.describe) NOT_FOUND: Requested entity was not found.
    
  2. Legen Sie die Richtlinie für die Organisation mit dem Befehl set-policy fest. Dieses überschreibt alle Richtlinien, die bereits an die Ressource angehängt sind.

    1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: organizations/ORGANIZATION_ID/policies/cloudkms.disableBeforeDestroy
      spec:
        rules:
        - enforce: true
      

      Ersetzen Sie ORGANIZATION_ID durch die eindeutige Kennung für die Organisationsressource.

    2. Führen Sie den Befehl set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml
      
  3. Rufen Sie die aktuell geltende Richtlinie mit describe --effective auf: Durch diesen Befehl wird die Organisationsrichtlinie zurückgegeben, wie sie zu diesem Zeitpunkt in der Ressourcenhierarchie einschließlich Übernahme evaluiert wird.

    gcloud org-policies describe \
      constraints/cloudkms.disableBeforeDestroy --effective \
      --organization=ORGANIZATION_ID
    

    Die Ausgabe sieht in etwa so aus:

    name: organizations/ORGANIZATION_ID/policies/cloudkms.minimumDestroyScheduledDuration
    spec:
      rules:
      - enforce: true
    

    Da diese Organisationsrichtlinie auf Organisationsebene festgelegt wurde, wird sie von allen untergeordneten Ressourcen, für die eine Richtlinienübernahme möglich ist, übernommen.

Nächste Schritte