职责分离

职责分离是确保单个个体不具备完成恶意行为的所有必要权限的概念。在 Cloud Key Management Service 中,这样的操作可能是使用密钥来访问和解密该用户通常不应具有访问权限的数据。

职责分离是大型组织的常用的业务控制手段之一,旨在帮助避免发生安全或隐私事件和错误。 该手段被认为是最佳做法。

如需进一步的指导,请参阅我们关于安全使用 Identity and Access Management 的文档

在单独的项目中设置 Cloud KMS

Cloud KMS 可以在现有项目(例如 your-project)中运行,将使用 Cloud KMS 中的密钥加密的数据存储在同一项目中是明智的。

但是,对该项目具有 owner 访问权限的任何用户也可以在该项目中管理 Cloud KMS 中的密钥(并执行加密操作)。这是因为密钥本身由项目拥有,而项目的用户是 owner

因此,为了实现职责分离,您可以在 Cloud KMS 所属的项目(例如 your-key-project)中对其进行运行。然后,根据您的分离要求的严格程度,您可以执行以下任意操作:

  • 推荐)在项目级层创建不具有 owneryour-key-project,并指定一个在组织级层授予的组织管理员。与 owner 不同,组织管理员无法直接管理或使用密钥。他们只能设置 IAM 政策以限制谁可以管理和使用密钥。通过使用组织级层节点,您可以进一步限制对组织中的项目的权限。
  • (不推荐)如果您必须要继续使用 owner 角色,请确保将其授予 your-key-project 中的实际成员,该成员必须不同于 your-projectownerowner 仍可以使用密钥,但只能在单个项目中使用。