Contraintes applicables aux règles d'administration pour Cloud KMS

Cette page fournit des informations supplémentaires sur les contraintes liées aux règles d'administration qui s'appliquent à Cloud Key Management Service. Utilisez des contraintes pour appliquer des comportements de ressources à l'ensemble d'un projet ou d'une organisation.

Contraintes Cloud KMS

Les contraintes suivantes peuvent être appliquées à une règle d'administration et concernent Cloud Key Management Service.

Appliquer des emplacements de ressources

Nom de l'API : constraints/gcp.resourceLocations

Lorsque vous appliquez la contrainte resourceLocations, vous spécifiez une ou plusieurs zones géographiques. Une fois définie, la création de ressources (par exemple, des trousseaux de clés, des clés et des versions de clé) est limitée aux emplacements spécifiés.

Les clés situées dans d'autres emplacements, créées ou importées avant l'application de la contrainte, restent utilisables. Toutefois, la rotation de clés (création automatique d'une nouvelle version de clé principale) échouera si la nouvelle version de clé se trouve dans un emplacement non autorisé.

Niveaux de protection autorisés

Nom de l'API : constraints/cloudkms.allowedProtectionLevels

Lorsque vous appliquez la contrainte allowedProtectionLevels, vous spécifiez un ou plusieurs niveaux de protection. Une fois définis, les nouvelles clés, versions de clé et tâches d'importation doivent utiliser l'un des niveaux de protection spécifiés.

Les clés avec d'autres niveaux de protection, créées avant l'application de la contrainte, resteront utilisables. Toutefois, la rotation des clés (création automatique d'une nouvelle version de clé principale) échouera si le résultat est une nouvelle version de clé avec un niveau de protection non autorisé.

Étape suivante