Aplique uma política da organização de CMEK

Google Cloud oferece duas restrições de políticas da organização para aplicar a utilização de CMEK numa organização:

  • O campo constraints/gcp.restrictNonCmekServices é usado para exigir proteção CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar as chaves CMEK usadas para proteção.

As políticas da organização CMEK aplicam-se apenas a recursos criados recentemente em serviços compatíveis Google Cloud .

Para mais informações sobre como isto funciona, consulte a Google Cloud hierarquia de recursos e as políticas organizacionais da CMEK.

Controle a utilização da CMEK com uma política da organização

Os volumes NetApp integram-se com as restrições da política da organização da CMEK para lhe permitir especificar os requisitos de conformidade da encriptação para recursos dos volumes NetApp na sua organização.

Esta integração permite-lhe fazer o seguinte:

Exija CMEKs para todos os recursos de volumes da NetApp

Uma política comum é exigir que as CMEKs sejam usadas para proteger todos os recursos numa organização. Pode usar a restrição constraints/gcp.restrictNonCmekServices para aplicar esta política nos volumes NetApp.

Se estiver definida, esta política da organização faz com que todos os pedidos de criação de recursos sem uma chave do Cloud KMS especificada falhem.

Depois de definir esta política, aplica-se apenas aos novos recursos no projeto. Todos os recursos existentes sem chaves do Cloud KMS definidas continuam a existir e são acessíveis sem problemas.

Use as instruções seguintes para aplicar a utilização de CMEK para recursos de volumes NetApp através da Google Cloud consola ou da CLI Google Cloud.

Consola

  1. Abra a página Políticas da organização.

    Aceda às políticas da organização

  2. No campo Filtro, introduza constraints/gcp.restrictNonCmekServices e, de seguida, clique em Restrinja os serviços que podem criar recursos sem CMEK.

  3. Clique em Gerir política.

  4. Na página Editar política, selecione Substituir política do elemento principal.

  5. Selecione Adicionar uma regra.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Recusar.

  8. No campo Valores personalizados, introduza is:netapp.googleapis.com.

  9. Clique em Concluído e, de seguida, em Definir política.

gcloud

  1. Crie um ficheiro temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Substitua PROJECT_ID pelo ID do projeto que quer usar.

  2. Execute o comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada com êxito, pode tentar criar um conjunto de armazenamento no projeto. O processo falha, a menos que especifique uma chave do Cloud KMS.

Restrinja as chaves do Cloud KMS para o projeto do NetApp Volumes

Pode usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que pode usar para proteger um recurso para o projeto NetApp Volumes.

Pode especificar uma regra, por exemplo, "Para todos os recursos de volumes do NetApp em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto têm de vir de projects/my-company-central-keys OU projects/team-specific-keys".

Use as instruções seguintes para aplicar chaves do Cloud KMS ao projeto de volumes do NetApp através da Google Cloud consola ou da CLI do Google Cloud.

Consola

  1. Abra a página Políticas da organização.

    Aceda às políticas da organização

  2. No campo Filtro, introduza constraints/gcp.restrictCmekCryptoKeyProjects e, de seguida, clique em Restrinja os projetos que podem fornecer CryptoKeys do KMS para CMEK.

  3. Clique em Gerir política.

  4. Na página Editar política, selecione Substituir política do elemento principal.

  5. Selecione Adicionar uma regra.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Permitir.

  8. No campo Valores personalizados, introduza o seguinte:

    under:projects/KMS_PROJECT_ID

    Substitua KMS_PROJECT_ID pelo ID do projeto onde se encontram as chaves do Cloud KMS que quer usar.

    Por exemplo, under:projects/my-kms-project.

  9. Clique em Concluído e, de seguida, em Definir política.

gcloud

  1. Crie um ficheiro temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Onde:

    • PROJECT_ID é o ID do projeto que quer usar.
    • KMS_PROJECT_ID é o ID do projeto onde se encontram as chaves do Cloud KMS que quer usar.

  2. Execute o comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada com êxito, pode tentar criar um conjunto de armazenamento com uma chave do Cloud KMS de um projeto diferente. O processo vai falhar.

Limitações

Aplicam-se as seguintes limitações quando define uma política da organização.

Recursos existentes

Os recursos existentes não estão sujeitos às políticas da organização criadas recentemente. Por exemplo, se criar uma política da organização que exija que especifique um CMEK para cada operação create, a política não se aplica retroativamente às instâncias e às cadeias de cópias de segurança existentes. Esses recursos continuam acessíveis sem uma CMEK. Se quiser aplicar a política a recursos existentes, como conjuntos de armazenamento, tem de os substituir.

Autorizações necessárias para definir uma política da organização

Precisa da função de administrador da política da organização concedida ao nível da organização para definir ou atualizar a política da organização para fins de teste.

Pode continuar a especificar uma política que se aplica apenas a um projeto ou uma pasta específicos.

Impacto da rotação de chaves do Cloud KMS

Os volumes do NetApp não alternam automaticamente a chave de encriptação de um recurso quando a chave do Cloud KMS associada a esse recurso é alternada.

  • Todos os dados nos conjuntos de armazenamento existentes continuam a ser protegidos pela versão da chave com a qual foram criados.

  • Todos os conjuntos de armazenamento criados recentemente usam a versão da chave principal especificada no momento da respetiva criação.

Quando alterna uma chave, os dados que foram encriptados com versões anteriores da chave não são reenviados automaticamente. Para encriptar os seus dados com a versão mais recente da chave, tem de desencriptar a versão antiga da chave do recurso e, em seguida, voltar a encriptar o mesmo recurso com a nova versão da chave. Além disso, a rotação de uma chave não desativa nem destrói automaticamente as versões de chaves existentes.

Para obter instruções detalhadas sobre como realizar cada uma destas tarefas, consulte os seguintes guias:

Acesso dos NetApp Volumes à chave do Cloud KMS

Uma chave do Cloud KMS é considerada disponível e acessível pelos volumes do NetApp nas seguintes condições:

  • A chave está ativada
  • A conta de serviço dos volumes NetApp tem autorizações de encriptação e desencriptação na chave

O que se segue?