Cloud KMS 的组织政策限制条件

本页面提供有关适用于 Cloud Key Management Service 的组织政策限制条件的补充信息。使用限制条件来在整个项目或组织中强制实施资源行为。

Cloud KMS 限制条件

以下限制条件可应用于组织政策并与 Cloud Key Management Service 相关。

实施资源位置

API 名称constraints/gcp.resourceLocations

应用 resourceLocations 限制条件时,您可以指定一个或多个位置。设置后,只能在指定位置创建新资源(例如密钥环、密钥、密钥版本)。

在应用限制条件之前创建或导入的其他位置的密钥将仍可使用。但是,如果结果是在不允许的位置是新密钥版本,则密钥轮替(自动创建新的主密钥版本)将失败。

允许的保护级别

API 名称constraints/cloudkms.allowedProtectionLevels

应用 allowedProtectionLevels 限制条件时,您可以指定一个或多个保护级别。设置后,新密钥、密钥版本和导入作业必须使用指定的保护级别之一。

在应用限制条件之前创建且具有其他保护级别的密钥将仍可使用。但是,如果结果是采用不允许的保护级别的新密钥版本,则密钥轮替(自动创建新的主密钥版本)将失败。

后续步骤