Cloud de Confiance by S3NS bietet zwei Einschränkungen für Organisationsrichtlinien, mit denen die CMEK Nutzung in einer Organisation gewährleistet werden kann:
constraints/gcp.restrictNonCmekServiceswird verwendet, um den CMEK Schutz zu erzwingen.constraints/gcp.restrictCmekCryptoKeyProjectswird verwendet, um einzuschränken, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden.
CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Cloud de Confiance Diensten.
Erforderliche Rollen
Damit jeder Nutzer die erforderlichen
Berechtigungen hat, um Organisationsrichtlinien beim Erstellen von Ressourcen zu prüfen,
bitten Sie Ihren Administrator, jedem Nutzer die
Organisationsrichtlinien-Betrachter (roles/orgpolicy.policyViewer)
IAM-Rolle für Ihre Organisation zu gewähren.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Prüfen von Organisationsrichtlinien beim Erstellen von Ressourcen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen , um die notwendigen Berechtigungen anzuzeigen, die erforderlich sind:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Organisationsrichtlinien beim Erstellen von Ressourcen zu prüfen:
-
Vollständige Details der Organisationsrichtlinie ansehen:
orgpolicy.policy.get -
Organisationsrichtlinie beim Erstellen von Ressourcen prüfen:
orgpolicy.policies.check
Ihr Administrator kann jedem Nutzer diese Berechtigungen möglicherweise auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erteilen.
Wenn Organisationsrichtlinien aktiv sind, ist die orgpolicy.policies.check Berechtigung
für Cloud de Confiance Konsolennutzer erforderlich, die Ressourcen erstellen, die durch CMEK-Schlüssel
geschützt sind. Nutzer ohne diese Berechtigung können CMEK-geschützte
Ressourcen über die Cloud de Confiance Konsole erstellen, aber sie können einen CMEK-Schlüssel auswählen, der
durch die restrictCmekCryptoKeyProjects Einschränkung nicht zulässig ist. Wenn ein Schlüssel ausgewählt wird, der
diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung fehl.
CMEK-Schutz erzwingen
Wenn Sie den CMEK-Schutz für Ihre Organisation erzwingen möchten, konfigurieren Sie die
constraints/gcp.restrictNonCmekServices Organisationsrichtlinie.
Als Listeneinschränkung sind die akzeptierten Werte für diese Einschränkung Cloud de Confiance by S3NS
Dienstnamen (z. B. bigquery.googleapis.com). Verwenden Sie diese Einschränkung, indem Sie
eine Liste von Cloud de Confiance by S3NS Dienstnamen angeben und die Einschränkung auf
Ablehnen festlegen. Diese Konfiguration verhindert die Erstellung von Ressourcen in diesen
Diensten, wenn die Ressource nicht durch CMEK geschützt ist. Mit
anderen Worten: Anfragen zum Erstellen einer Ressource im Dienst sind ohne
Angabe eines Cloud KMS-Schlüssels nicht erfolgreich. Außerdem verhindert diese Einschränkung
das Entfernen des CMEK-Schutzes von Ressourcen in diesen Diensten. Diese Einschränkung
kann nur auf unterstützte Dienste angewendet werden.
Verwendung von Cloud KMS-Schlüsseln für CMEK einschränken
Wenn Sie einschränken möchten, welche Cloud KMS-Schlüssel für den CMEK-Schutz verwendet werden,
konfigurieren Sie die constraints/gcp.restrictCmekCryptoKeyProjects Einschränkung.
Als Listeneinschränkung sind die akzeptierten Werte Indikatoren für die Ressourcenhierarchie (z.
B. projects/PROJECT_ID,
under:folders/FOLDER_ID, und
under:organizations/ORGANIZATION_ID). Konfigurieren Sie diese Einschränkung, indem Sie
eine Liste von Indikatoren für die Ressourcenhierarchie angeben und die Einschränkung
auf Zulassen festlegen. Diese Konfiguration schränkt unterstützte Dienste so ein, dass CMEK-Schlüssel
nur aus den aufgeführten Projekten, Ordnern und Organisationen ausgewählt werden können.
Anfragen zum Erstellen von CMEK-geschützten Ressourcen in konfigurierten Diensten sind
ohne einen Cloud KMS
Schlüssel aus einer der zulässigen Ressourcen nicht erfolgreich. Sofern konfiguriert, gilt diese Einschränkung
für alle unterstützten Dienste.
Unterstützte Dienste
| Dienst | Einschränkungswert bei erforderlichem CMEK |
|---|---|
| Agent Assist | dialogflow.googleapis.com |
| AlloyDB for PostgreSQL | alloydb.googleapis.com |
| Apigee | apigee.googleapis.com |
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| Sicherung für GKE | gkebackup.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Data Fusion | datafusion.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Cloud Run-Funktionen | cloudfunctions.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Tasks | cloudtasks.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Colab Enterprise | aiplatform.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dialogorientierte Insights | contactcenterinsights.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataform | dataform.googleapis.com |
| Dataplex Universal Catalog | dataplex.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Dialogflow CX | dialogflow.googleapis.com |
| Document AI | documentai.googleapis.com |
| Eventarc Advanced (Vorschau) | eventarc.googleapis.com |
| Eventarc Standard | eventarc.googleapis.com |
| Filestore | file.googleapis.com |
| Firestore | firestore.googleapis.com |
| Gemini Enterprise Enterprise | discoveryengine.googleapis.com |
| Google Cloud NetApp Volumes | netapp.googleapis.com |
| Google Kubernetes Engine (Vorschau) | container.googleapis.com |
| Looker (Google Cloud Core) | looker.googleapis.com |
| Memorystore for Redis | redis.googleapis.com |
| Memorystore for Redis Cluster | redis.googleapis.com |
| Memorystore for Valkey | memorystore.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Secure Source Manager | securesourcemanager.googleapis.com |
| Security Command Center | securitycenter.googleapis.com |
| Spanner | spanner.googleapis.com |
| Speech-to-Text | speech.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Vertex AI Search | discoveryengine.googleapis.com |
| Vertex AI Workbench-Instanzen | notebooks.googleapis.com |
Ausnahmen bei der Erzwingung nach Ressourcentyp
CMEK-Organisationsrichtlinieneinschränkungen werden beim Erstellen einer neuen Ressource oder beim Ändern des Cloud KMS-Schlüssels für eine vorhandene Ressource (sofern unterstützt) erzwungen. Im Allgemeinen werden sie für alle Ressourcentypen eines Dienstes erzwungen, die CMEK unterstützen, und basieren ausschließlich auf der Konfiguration der Ressource. Einige bemerkenswerte Ausnahmen sind hier zusammengefasst:
| Ressourcentyp | Ausnahme bei der Erzwingung |
|---|---|
bigquery.googleapis.com/Dataset |
Teilweise Erzwingung für den standardmäßigen Cloud KMS-Schlüssel des Datasets (gcp.restrictCmekCryptoKeyProjects nur)
|
bigquery.googleapis.com/Job |
Nur Abfragejobs: Erzwingung für den Cloud KMS-Schlüssel, der mit der Abfrage bereitgestellt wird oder für den Standardschlüssel aus dem Abrechnungsprojekt. Informationen zur separaten Konfiguration des standardmäßigen Cloud KMS-Schlüssels des Projekts finden Sie hier. |
bigquerydatatransfer.googleapis.com/TransferConfig |
Für Übertragungskonfigurationen wird der Dienstname des Data Transfer Service (bigquerydatatransfer.googleapis.com) für Einschränkungen der CMEK-Organisationsrichtlinie verwendet. |
container.googleapis.com/Cluster |
(Vorschau) Erzwingung nur für den Cloud KMS-Schlüssel für den Startdatenträger des Knotens, nicht für Secrets auf der Anwendungsebene |
logging.googleapis.com/LogBucket |
Erzwingung für explizit erstellte Log-Buckets. Informationen zur separaten Konfiguration die erforderlich ist, um die Compliance von integrierten Log-Buckets zu gewährleisten, finden Sie hier. |
storage.googleapis.com/Bucket |
Erzwingung für den standardmäßigen Cloud KMS-Schlüssel des Buckets |
storage.googleapis.com/Object |
Erzwingung unabhängig vom Bucket. Informationen zur separaten Konfiguration des standardmäßigen Cloud KMS-Schlüssels des Buckets finden Sie hier. |
Konfigurationsbeispiele
In den Konfigurationsbeispielen wird davon ausgegangen, dass die Beispielorganisation die folgende Ressourcenhierarchie hat:
CMEK erzwingen und Schlüssel für ein Projekt einschränken
Angenommen, Sie möchten den CMEK-Schutz für alle Cloud Storage-Ressourcen
unter projects/5 erzwingen und sicherstellen, dass nur Schlüssel aus projects/4 verwendet werden können.
Wenn Sie den CMEK-Schutz für alle neuen Cloud Storage-Ressourcen erzwingen möchten, verwenden Sie die folgende Einstellung für die Organisationsrichtlinie:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung bei:
projects/5 - Richtlinientyp: Ablehnen
- Richtlinienwert:
storage.googleapis.com
Verwenden Sie die folgende Konfiguration, um sicherzustellen, dass nur Schlüssel aus projects/4 verwendet werden:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects - Bindung bei:
projects/5 - Richtlinientyp: Zulassen
- Richtlinienwert:
projects/4
CMEK erzwingen und Schlüssel auf einen Ordner beschränken
Alternativ können Sie davon ausgehen, dass Sie in Zukunft zusätzliche Cloud KMS
Projekte unter folders/2 hinzufügen und CMEK umfassender
in folders/3 erzwingen möchten. Für dieses Szenario benötigen Sie etwas andere
Konfigurationen.
So erzwingen Sie zusätzlichen CMEK-Schutz für neue Cloud SQL- und Cloud Storage
Ressourcen unter folders/3:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung bei:
folders/3 - Richtlinientyp: Ablehnen
- Richtlinienwerte:
sqladmin.googleapis.com,storage.googleapis.com
So stellen Sie sicher, dass nur Schlüssel aus Cloud KMS-Projekten unter folders/2 verwendet werden:
- Organisationsrichtlinie:
constraints/gcp.restrictCmekCryptoKeyProjects - Bindung bei:
folders/3 - Richtlinientyp: Zulassen
- Richtlinienwert:
under:folders/2
CMEK für eine Organisation erzwingen
Wenn Sie CMEK überall in der Organisation (in unterstützten Diensten) erzwingen möchten,
konfigurieren Sie die constraints/gcp.restrictNonCmekServices Einschränkung mit der
folgenden Einstellung:
- Organisationsrichtlinie:
constraints/gcp.restrictNonCmekServices - Bindung bei:
organizations/1 - Richtlinientyp: Ablehnen
- Richtlinienwerte: (alle unterstützten Dienste)
Beschränkungen
Wenn Sie über die Cloud de Confiance Konsole eine Ressource erstellen, werden Sie möglicherweise feststellen, dass Sie keine anderen Verschlüsselungsoptionen als CMEK verwenden können, wenn constraints/gcp.restrictNonCmekServices für ein Projekt und einen Dienst konfiguriert ist. Die Einschränkung der CMEK-Organisationsrichtlinie ist nur sichtbar, wenn dem
Kundenkonto die IAM
Berechtigung für das Projekt gewährt wurde.orgpolicy.policy.get
Nächste Schritte
Weitere Informationen zu den Vorteilen und gängigen Anwendungsfällen von Organisationsrichtlinien finden Sie unter Einführung in den Organisationsrichtlinien Dienst.
Weitere Beispiele zum Erstellen einer Organisationsrichtlinie mit bestimmten Einschränkungen finden Sie unter Einschränkungen verwenden.