Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Políticas da organização de CMEK

OCloud de Confiance by S3NS oferece duas restrições de política da organização para ajudar a garantir o uso da CMEK em uma organização:

constraints/gcp.restrictNonCmekServices é usado para exigir proteção com CMEK.
O constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar quais chaves do Cloud KMS são usadas para proteção com CMEK.

As políticas da organização de CMEK só se aplicam aos recursos recém-criados nos serviços Cloud de Confiance com suporte.

Funções exigidas

Para garantir que cada usuário tenha as permissões necessárias para verificar as políticas da organização ao criar recursos, peça ao administrador para conceder o papel do IAM de Leitor de políticas da organização (roles/orgpolicy.policyViewer) a cada usuário na organização. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para verificar as políticas da organização ao criar recursos. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para verificar as políticas da organização ao criar recursos:

Para conferir todos os detalhes da política da organização: orgpolicy.policy.get
Para verificar a política da organização ao criar recursos: orgpolicy.policies.check

O administrador também pode conceder essas permissões a cada usuário com papéis personalizados ou outros papéis predefinidos.

Quando as políticas da organização estão ativas, a permissão orgpolicy.policies.check é necessária para usuários do console Cloud de Confiance que criam recursos protegidos por chaves CMEK. Os usuários sem essa permissão podem criar recursos protegidos por CMEK usando o console Cloud de Confiance , mas podem selecionar uma chave CMEK que não é permitida pela restrição restrictCmekCryptoKeyProjects. Quando uma chave que não atende a essa restrição é selecionada, a criação do recurso acaba falhando.

Exigir proteção de CMEK

Para exigir a proteção da CMEK na sua organização, configure a política da organização constraints/gcp.restrictNonCmekServices.

Como uma restrição de lista, os valores aceitos para essa restrição são nomes de serviços Cloud de Confiance by S3NS(por exemplo, bigquery.googleapis.com). Use essa restrição fornecendo uma lista de nomes de serviços Cloud de Confiance by S3NS e definindo a restrição como Negar. Essa configuração bloqueia a criação de recursos nesses serviços se o recurso não estiver protegido pela CMEK. Em outras palavras, as solicitações para criar um recurso no serviço não funcionam sem especificar uma chave do Cloud KMS. Além disso, essa restrição bloqueia a remoção da proteção de CMEK dos recursos nesses serviços. Essa restrição só pode ser aplicada a serviços compatíveis.

Limitar o uso de chaves do Cloud KMS para CMEK

Para limitar quais chaves do Cloud KMS são usadas para proteção por CMEK, configure a restrição constraints/gcp.restrictCmekCryptoKeyProjects.

Como uma restrição de lista, os valores aceitos são indicadores de hierarquia de recursos (por exemplo, projects/PROJECT_ID, under:folders/FOLDER_ID e under:organizations/ORGANIZATION_ID). Use essa restrição configurando uma lista de indicadores de hierarquia de recursos e definindo a restrição como Permitir. Essa configuração restringe os serviços compatíveis para que as chaves CMEK possam ser escolhidas apenas nos projetos, pastas e organizações listados. As solicitações para criar recursos protegidos por CMEK em serviços configurados não são bem-sucedidas sem uma chave do Cloud KMS de um dos recursos permitidos. Quando configurada, essa restrição se aplica a todos os serviços compatíveis.

Serviços compatíveis

Serviço	Valor da restrição ao exigir CMEK
Cloud Storage	`storage.googleapis.com`

Exceções de aplicação por tipo de recurso

As restrições de política da organização de CMEK são aplicadas ao criar um novo recurso ou ao mudar (quando compatível) a chave do Cloud KMS em um recurso existente. Em geral, elas são aplicadas a todos os tipos de recursos de um serviço que aceitam a CMEK e são baseadas apenas na configuração do recurso. Confira algumas exceções importantes:

Tipo de recurso	Exceção de aplicação
`storage.googleapis.com/Bucket`	Aplicada à chave padrão do Cloud KMS do bucket
`storage.googleapis.com/Object`	Aplicada de forma independente do bucket. Consulte também a configuração separada da chave padrão do Cloud KMS do bucket.

Exemplos de configuração

Nos exemplos de configuração, suponha que a organização de exemplo tenha a seguinte hierarquia de recursos:

Um diagrama de uma hierarquia de recursos da organização

Exigir CMEK e limitar chaves para um projeto

Suponha que você queira exigir a proteção com CMEK para todos os recursos do Cloud Storage em projects/5 e garantir que apenas as chaves de projects/4 possam ser usadas.

Para exigir a proteção da CMEK em todos os novos recursos do Cloud Storage, use a seguinte configuração de política da organização:

Política da organização: constraints/gcp.restrictNonCmekServices
Vinculação em: projects/5
Tipo de política: Negar
Valor da política: storage.googleapis.com

Para garantir que apenas chaves de projects/4 sejam usadas, use a seguinte configuração:

Política da organização: constraints/gcp.restrictCmekCryptoKeyProjects
Vinculação em: projects/5
Tipo de política: Permitir
Valor da política: projects/4

Exigir CMEK e limitar chaves a uma pasta

Outra opção é adicionar mais projetos do Cloud KMS em folders/2 no futuro e exigir a CMEK de forma mais ampla em folders/3. Para esse cenário, você precisa de configurações ligeiramente diferentes.

Para exigir proteção adicional da CMEK para novos recursos do Cloud SQL e do Cloud Storage em qualquer lugar em folders/3:

Política da organização: constraints/gcp.restrictNonCmekServices
Vinculação em: folders/3
Tipo de política: Negar
Valores da política: sqladmin.googleapis.com, storage.googleapis.com

Para garantir que apenas as chaves de projetos do Cloud KMS em folders/2 sejam usadas:

Política da organização: constraints/gcp.restrictCmekCryptoKeyProjects
Vinculação em: folders/3
Tipo de política: Permitir
Valor da política: under:folders/2

Exigir CMEK para uma organização

Para exigir a CMEK em toda a organização (nos serviços compatíveis), configure a restrição constraints/gcp.restrictNonCmekServices com a seguinte configuração:

Política da organização: constraints/gcp.restrictNonCmekServices
Vinculação em: organizations/1
Tipo de política: Negar
Valores da política: (todos os serviços compatíveis)

Limitações

Se você usar o console Cloud de Confiance para criar um recurso, vai notar que não é possível usar nenhuma opção de criptografia além da CMEK quando o constraints/gcp.restrictNonCmekServices é configurado para um projeto e um serviço. A restrição da política da organização da CMEK só fica visível quando a conta do cliente recebe a permissão orgpolicy.policy.get do IAM no projeto.

A seguir

Consulte Introdução ao serviço de política da organização para saber mais sobre os benefícios e casos de uso comuns das políticas da organização.

Para mais exemplos de como criar uma política da organização com restrições específicas, consulte Como usar restrições.