Restrições da política da organização para o Cloud KMS

Esta página fornece informações suplementares sobre as restrições da política da organização que lhe permitem aplicar limitações ao Cloud Key Management Service. Pode usar estas restrições para limitar as localizações de recursos ou os níveis de proteção permitidos para chaves do Cloud KMS num projeto ou numa organização inteira.

Também pode usar políticas de organização de CMEK para aplicar a utilização de CMEK na sua organização e usar políticas de organização para controlar a destruição de chaves.

Restrições do Cloud KMS

As seguintes restrições podem ser aplicadas a uma política de organização e estão relacionadas com o Cloud Key Management Service.

Aplique localizações de recursos

Nome da API: constraints/gcp.resourceLocations

Quando aplica a restrição resourceLocations, especifica uma ou mais localizações. Depois de configurada, a criação de novos recursos (por exemplo, anéis de chaves, chaves e versões de chaves) fica limitada às localizações especificadas.

As chaves noutras localizações, criadas ou importadas antes de a restrição ser aplicada, vão continuar a ser utilizáveis. No entanto, a rotação de chaves (criação automática de uma nova versão da chave principal) falha se o resultado for uma nova versão da chave numa localização não permitida.

Níveis de proteção permitidos

Nome da API: constraints/cloudkms.allowedProtectionLevels

Quando aplica a restrição allowedProtectionLevels, especifica um ou mais níveis de proteção. Depois de definidas, as novas chaves, versões de chaves e tarefas de importação têm de usar um dos níveis de proteção especificados.

As chaves com outros níveis de proteção, criadas antes de a restrição ser aplicada, vão continuar a ser utilizáveis. No entanto, a rotação de chaves (criação automática de uma nova versão da chave principal) falha se o resultado for uma nova versão da chave com um nível de proteção não permitido.

O que se segue?