בדף הזה תמצאו מידע נוסף על האילוצים של מדיניות הארגון שמאפשרים לכם לאכוף הגבלות על Cloud Key Management Service. אתם יכולים להשתמש באילוצים האלה כדי להגביל את מיקומי המשאבים או את רמות ההגנה המותרות למפתחות Cloud KMS בכל הפרויקט או הארגון.
אפשר גם להשתמש במדיניות הארגון ל-CMEK כדי לאכוף את השימוש ב-CMEK בארגון, וגם להשתמש במדיניות הארגון כדי לשלוט בהשמדת המפתחות.
מגבלות של Cloud KMS
אפשר להחיל את האילוצים הבאים על מדיניות הארגון והם מתייחסים ל-Cloud Key Management Service.
אכיפה של מיקומי משאבים
שם ה-API: constraints/gcp.resourceLocations
כשמחילים את האילוץ resourceLocations, צריך לציין מיקום אחד או יותר. אחרי שמגדירים את המיקומים, אפשר ליצור משאבים חדשים (למשל, מחזיקי מפתחות, מפתחות, גרסאות מפתח) רק במיקומים שצוינו.
מפתחות במיקומים אחרים, שנוצרו או יובאו לפני החלת ההגבלה, ימשיכו להיות שמישים. עם זאת, רוטציית מפתחות (יצירה אוטומטית של גרסה חדשה של מפתח ראשי) תיכשל אם התוצאה תהיה גרסה חדשה של מפתח במיקום אסור.
רמות ההגנה המותרות
שם ה-API: constraints/cloudkms.allowedProtectionLevels
כשמחילים את האילוץ allowedProtectionLevels, צריך לציין רמת הגנה אחת או יותר. אחרי שמגדירים את רמת ההגנה, מפתחות חדשים, גרסאות מפתח חדשות ומשימות ייבוא חייבים להשתמש באחת מרמות ההגנה שצוינו.
מפתחות עם רמות הגנה אחרות שנוצרו לפני החלת ההגבלה ימשיכו להיות שמישים. עם זאת, רוטציית מפתחות (יצירה אוטומטית של גרסה חדשה של מפתח ראשי) תיכשל אם התוצאה תהיה גרסה חדשה של מפתח עם רמת הגנה אסורה.
המאמרים הבאים
- מידע על מדיניות הארגון ל-CMEK ועל שימוש במדיניות הארגון כדי לשלוט בהשמדת מפתחות
- מידע נוסף על היררכיית המשאבים החלה על מדיניות הארגון.
- להוראות בנושא עבודה עם אילוצים וכללי מדיניות ארגון במסוף Cloud de Confiance , ראו יצירה וניהול של מדיניות הארגון.
- להוראות בנושא עבודה עם אילוצים וכללי מדיניות ארגון ב-CLI של gcloud, ראו שימוש באילוצים.
- עיינו במאמרי העזרה של ה-API של Resource Manager ל-methods רלוונטיות של API, כמו
projects.setOrgPolicy.