שימוש באילוצים של מדיניות הארגון ב-Apigee

בדף הזה מוסבר איך להשתמש ב אילוצים של מדיניות הארגון עם Apigee.

לא כל התכונות ב-Apigee משתמשות ב-CMEK להצפנה של נתונים רגישים. כדי לוודא שנתונים שנדרשת הצפנה שלהם באמצעות CMEK לא משתמשים בלי ידיעתכם בתכונות שלא מוגנות באמצעות CMEK, התכונות האלה מושבתות בפרויקטים עם הגבלות CMEK עד שהם יעמדו בדרישות. רק שימושים חדשים בתכונות יושבתו (יצירת משאבים חדשים או הפעלת תוסף). תכונות ומשאבים שכבר נמצאים בשימוש יישארו זמינים וניתנים לעריכה, אבל לא יהיו מוגנים.

יצירת ארגוני הערכה חסומה גם על ידי ה-API‏ gcloud alpha apigee organizations וגם על ידי אשף הקצאת ההערכה. כשמנסים להציג את אשף הקצאת ההערכה, מוצגת ההודעה: הערכת Apigee לא זמינה.

מידע נוסף על התכונות שמושבתות בפרויקטים עם אילוצים של CMEK זמין במאמר בנושא אילוצים של מדיניות הארגון.

תנאים

בנושא הזה נעשה שימוש במונחים הבאים:

מונח הגדרה
CMEK מפתח הצפנה בניהול הלקוח. מידע מפורט מופיע במאמר בנושא מפתחות הצפנה בניהול הלקוח.
מגבלות שקשורות למדיניות הארגון אילוץ הוא סוג מסוים של הגבלה על Google Cloud שירות או על רשימה של Google Cloudשירותים. בנוגע ל-CMEK, יש שני אילוצים רלוונטיים:
  • constraints/gcp.restrictNonCmekServices
  • constraints/gcp.restrictCmekCryptoKeyProjects
אכיפה התחייבות של מערכות ה-Backend של Apigee לפעול בהתאם לאילוץ של פרויקט (במקרה הזה, אילוצי CMEK)
אימות מראש התנהגויות של ממשק המשתמש שמנחות אתכם בבחירת תצורות תקינות ב-Apigee בהתאם למדיניות הארגון בנושא CMEK, ולא חושפות תכונות שלא עומדות בדרישות.
משאבים משאבי Apigee כמו ארגונים ו מופעים

איך מגבילים שירותים שלא תומכים בהצפנה באמצעות מפתח משלהם (CMEK)

בקטע הזה מוסבר איך להגביל שירותים שאינם CMEK.

  1. עמידה בדרישות המוקדמות.
  2. בוחרים את הפרויקט במסוף Google Cloud .
  3. יצירת אילוץ חדש של מדיניות הארגון.
  4. הקצאת הרשאות ל-Apigee.

דרישות מוקדמות

עליך:

פתיחת הפרויקט

  1. נכנסים לדף Dashboard במסוף Google Cloud .

    אל לוח הבקרה

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud

יצירה של אילוץ של מדיניות הארגון

כללי מדיניות הארגון מוגדרים לפי הערכים שמוגדרים לכל אילוץ. הן מוגדרות ברמה של המשאב הזה, מועברות בירושה מהמשאב ברמה העליונה או מוגדרות להתנהגות ברירת המחדל שמנוהלת על ידי Google. במקרה הזה, תיצרו אילוץ שמחייב שימוש ב-CMEK ויחול על הפרויקט ועל כל המשאבים שמוגדרים בפרויקט.

כדי להבטיח שמפתחות הצפנה בניהול הלקוח תמיד ישמשו להצפנת הנתונים ב-Apigee, צריך ליצור את האילוץ הבא של מדיניות הארגון:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בתיבה Filter, מזינים: 
    constraints/gcp.restrictNonCmekServices
  4. לוחצים על עוד, ואז על עריכת מדיניות. אם האפשרות עריכה מושבתת, סימן שאין לכם את ההרשאות הנדרשות ואתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) בארגון. מידע נוסף מופיע במאמר דרישות מוקדמות.
  5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי. למשאב הזה תהיה מדיניות משלו. בשלב הבא תציינו איך כללי המדיניות של ההורה יטופלו.
  6. בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מהאפשרויות הבאות:
    • החלפה. אם בוחרים באפשרות הזו, המערכת מתעלמת מהמדיניות של המשאב הראשי ומשתמשת בכללים האלה.
    • מיזוג עם ההורה. האפשרות הזו מוסיפה כללים בנוסף לאלה שהוגדרו במשאב ההורה.

    במאמר הסבר על הערכת ההיררכיה מוסבר על ירושת מדיניות הארגון.

  7. לוחצים על Add a rule.
  8. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.
  9. בקטע סוג המדיניות, בוחרים באפשרות דחייה.
  10. בשדה ערכים מותאמים אישית, מזינים: 
    apigee.googleapis.com
  11. לוחצים על סיום.
  12. לוחצים על הגדרת מדיניות. יוצג הדף פרטי מדיניות.

אחרי שמגדירים את המדיניות ובוחרים פרויקט שמשתמש במדיניות או מקבל ממנה הגדרות בירושה, אפשר להקצות את Apigee. חשוב לדעת שלא מובטח שהמשאבים של Apigee שנוצרו לפני הגדרת מדיניות הארגון ל-CMEK יהיו תואמים. רק משאבים חדשים שנוצרו אחרי שהמדיניות הופעלה יפעלו בהתאם למגבלות של CMEK.

מידע נוסף:

הקצאת Apigee

הקצאת Apigee במקומות שבהם יש אילוצים של מדיניות הארגון מתבצעת באותם שלבים כמו הקצאת Apigee במקומות שבהם אין אילוצים של מדיניות הארגון. עם זאת, ממשק המשתמש מונע מכם לבחור אפשרויות שלא נתמכות.

בקטע הזה מוסבר איפה בממשק המשתמש יש הנחיות לבחירת אפשרויות.

  1. נכנסים לדף Apigee במסוף Google Cloud .

    מעבר אל Apigee

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בדף Welcome to Apigee API management, האפשרות Setup using defaults מושבתת כי צריך לבחור באופן מפורש מפתחות CMEK. לוחצים על Customize your setup (התאמה אישית של ההגדרה).
  4. הפעלת ממשקי API: מפעילים את ממשקי ה-API הנדרשים כמו שמתואר ב שלב 1: הפעלת ממשקי API נדרשים.
  5. הגדרת רשתות: מגדירים רשתות כמו שמתואר בשלב 2: הגדרת רשתות.

  6. הגדרת אירוח והצפנה:

    תהליך השימוש ד': הצפנה בניהול הלקוח, עם מיקום הנתונים הוא תהליך השימוש הרלוונטי היחיד למגבלות של מדיניות הארגון שמגבילות שירותים שאינם CMEK.

    1. לוחצים על עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.
    2. בקטע Encryption type (סוג ההצפנה), האפשרות Google-managed encryption key (מפתח הצפנה בניהול Google) מושבתת והאפשרות Customer-managed encryption key (מפתח הצפנה בניהול הלקוח) מופעלת ואי אפשר להשבית אותה.
    3. לוחצים על הבא.
    4. בקטע Control Plane, האפשרות Enable data residency מופעלת ואי אפשר להשבית אותה.
    5. ממשיכים להגדיר את האירוח וההצפנה כמו שמתואר בשלב 3.ב. ב מסלול המשתמש D: הצפנה בניהול הלקוח, עם מיקום הנתונים.
  7. התאמה אישית של ניתוב הגישה: התאמה אישית של ניתוב הגישה כמו שמתואר ב שלב 4: התאמה אישית של ניתוב הגישה.

איך מגבילים פרויקטים של מפתחות הצפנה מסוג CMEK

בקטע הזה מוסבר איך להגביל פרויקטים של מפתחות הצפנה מסוג CMEK.

אפשר להגביל את הפרויקטים שיכולים לספק מפתחות הצפנה באמצעות אילוץ נוסף של מדיניות הארגון: constraints/gcp.restrictCmekCryptoKeyProjects בעזרת האילוץ הזה, אתם יכולים להוסיף לרשימת ההיתרים פרויקטים שמהם אפשר להשתמש במפתחות הצפנה.

בכל מקום שבו אפשר לבחור CMEK, שזה כרגע בזמן הקצאת Apigee או יצירת מופע Apigee, האילוץ הזה נאכף.

אם הפרויקט הנוכחי שנבחר במסוף Google Cloud לא נמצא ברשימת ההיתרים של האילוץ restrictCmekCryptoKeyProjects, לא תוכלו לבחור מפתחות מתיבת הבחירה של מפתחות ההצפנה. במקום זאת, תצטרכו להשתמש במפתח מפרויקט שנמצא ברשימת ההיתרים.

דרישות מוקדמות

עליך:

פתיחת הפרויקט

  1. נכנסים לדף Dashboard במסוף Google Cloud .

    אל לוח הבקרה

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud

יצירה של אילוץ של מדיניות הארגון

כללי מדיניות הארגון מוגדרים לפי הערכים שמוגדרים לכל אילוץ. הן מוגדרות ברמה של המשאב הזה, עוברות בירושה מהמשאב ברמה העליונה או מוגדרות להתנהגות ברירת המחדל שמנוהלת על ידי Google. In this case, you will be creating a constraint that allows keys only from allowlisted projects. ההגבלה הזו תחול על הפרויקט ועל כל המשאבים שמוגדרים בירושה מהפרויקט.

כדי לוודא שמפתחות הצפנה בניהול הלקוח משמשים רק מפרויקטים ספציפיים, מוסיפים אותם לרשימת ההיתרים:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בתיבה Filter, מזינים: 
    restrictCmekCryptoKeyProjects
  4. לוחצים על עוד, ואז על עריכת מדיניות. אם האפשרות עריכה מושבתת, סימן שאין לכם את ההרשאות הנדרשות ואתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ אדמין של מדיניות הארגון (roles/orgpolicy.policyAdmin) בארגון. מידע נוסף מופיע במאמר דרישות מוקדמות.
  5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי. למשאב הזה תהיה מדיניות משלו. בשלב הבא תציינו איך כללי המדיניות של ההורה יטופלו.
  6. בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מהאפשרויות הבאות:
    • החלפה. אם בוחרים באפשרות הזו, המערכת מתעלמת מהמדיניות של המשאב הראשי ומשתמשת בכללים האלה.
    • מיזוג עם ההורה. האפשרות הזו מוסיפה כללים בנוסף לאלה שהוגדרו במשאב ההורה.

    במאמר הסבר על הערכת היררכיה מוסבר על ירושת מדיניות הארגון.

  7. לוחצים על Add a rule.
  8. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.
  9. בקטע סוג המדיניות, בוחרים באפשרות אישור.
  10. בשדה ערכים מותאמים אישית, מזינים: 
    projects/PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט שבו נמצאים מפתחות Cloud KMS שרוצים להשתמש בהם. לדוגמה: my-kms-project.

  11. לוחצים על סיום.
  12. לוחצים על הגדרת מדיניות. יוצג הדף פרטי מדיניות.

אחרי שמגדירים את המדיניות ובוחרים פרויקט שמשתמש במדיניות או מקבל אותה בירושה, אפשר להקצות את Apigee. שימו לב: לא מובטח שהתאימות של משאבי Apigee שנוצרו לפני הגדרת מדיניות הארגון לגבי CMEK תהיה מלאה. רק משאבים חדשים שנוצרו אחרי שהמדיניות הופעלה יעמדו במגבלות של CMEK.

מידע נוסף:

הקצאת Apigee

הקצאת Apigee במקומות שבהם יש אילוצים של מדיניות הארגון מתבצעת באותם שלבים כמו הקצאת Apigee במקומות שבהם אין אילוצים של מדיניות הארגון. עם זאת, ממשק המשתמש מונע מכם לבחור אפשרויות שלא נתמכות.

בקטע הזה מוסבר איפה בממשק המשתמש יש הנחיות לבחירת אפשרויות.

  1. נכנסים לדף Apigee במסוף Google Cloud .

    מעבר אל Apigee

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בדף Welcome to Apigee API management (ברוכים הבאים לניהול Apigee API), לוחצים על Customize your setup (התאמה אישית של ההגדרה).
  4. הפעלת ממשקי API: מפעילים את ממשקי ה-API הנדרשים כמו שמתואר ב שלב 1: הפעלת ממשקי API נדרשים.
  5. הגדרת רשתות: מגדירים רשתות כמו שמתואר בשלב 2: הגדרת רשתות.

  6. הגדרת אירוח והצפנה:

    תהליך השימוש ד': הצפנה בניהול הלקוח, עם מיקום הנתונים הוא תהליך השימוש הרלוונטי היחיד למגבלות של מדיניות הארגון שמגבילות שירותים שאינם CMEK.

    1. לוחצים על עריכה כדי לפתוח את החלונית מפתחות אירוח והצפנה.
    2. בקטע Encryption type (סוג ההצפנה), האפשרות Google-managed encryption key (מפתח הצפנה בניהול Google) מושבתת, והאפשרות Customer-managed encryption key (מפתח הצפנה בניהול הלקוח) מופעלת ואי אפשר להשבית אותה.
    3. לוחצים על הבא.
    4. בקטע Control Plane, האפשרות Enable data residency מופעלת ואי אפשר להשבית אותה.
    5. ממשיכים להגדיר אירוח והצפנה כמו שמתואר בשלב 3.ב. ב מסלול המשתמש D: הצפנה בניהול הלקוח, עם מיקום הנתונים.
  7. התאמה אישית של ניתוב הגישה: התאמה אישית של ניתוב הגישה כמו שמתואר ב שלב 4: התאמה אישית של ניתוב הגישה.

שימוש במפתח מפרויקט שנכלל ברשימת ההיתרים

כדי להשתמש במפתח מפרויקט שנמצא ברשימת ההיתרים ב-Apigee, צריך להזין את המפתח באופן ידני לפי מזהה המשאב שלו. כל מפתח שתזינו באופן ידני ייבדק גם הוא כדי לוודא שהפרויקט שלו תקף בהתאם לפרויקטים שברשימת ההיתרים באילוץ.

איך מקבלים מזהה משאב KMS Google Cloud

ראו: קבלת מזהה משאב של Cloud KMS

פתרון בעיות

בטבלה הבאה מתוארים כמה תנאי שגיאה נפוצים שיכולים להתרחש עם CMEK ומגבלות של מדיניות הארגון.

הודעת השגיאה מטרה השלבים הבאים
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. ניסיתם להקצות ארגון לניסיון שבו יש אילוץ של מדיניות הארגון לפרויקט. ‫CMEK לא אפשרי בארגונים לצורך ניסיון או הערכה. תצטרכו לעדכן את ההגבלה של מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחתה כדי שתוכלו להקצות ארגון לצורך ניסיון.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. ניסית להקצות ארגון גלובלי שקיים בו אילוץ של מדיניות הארגון עבור הפרויקט. אין תמיכה ב-CMEK בארגונים גלובליים. תצטרכו לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחו, או להשתמש במיקום אחר כדי ליצור את הארגונים.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. ניסית להקצות ארגון שבו קיים אילוץ של מדיניות הארגון לפרויקט בלי לציין KMS CryptoKey. הגדרתם קוד במדיניות הארגון שמחייב אתכם לספק מפתח CMEK כדי להצפין את הנתונים. תצטרכו לספק את מפתח ה-CMEK כדי ליצור ארגון או מופעים. אם לא רוצים לאכוף את CMEK, אפשר לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחו.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint. ניסיתם להקצות ארגון שקיימת בו מגבלה של מדיניות הארגון לגבי הפרויקט, וציינתם מפתח KMS CryptoKey שלא נמצא ברשימת ההיתרים. הגדרתם constraints/gcp.restrictCmekCryptoKeyProjects במדיניות הארגון, ולכן אתם צריכים לספק מפתח CMEK מהפרויקטים המותרים שציינתם. כדי ליצור ארגון או מכונות וירטואליות, תצטרכו לספק את מפתח ה-CMEK מפרויקט מורשה. אפשר גם לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictCmekCryptoKeyProjects כדי לאפשר מפתחות מהפרויקט הספציפי Google Cloud שרוצים.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. ניסית ליצור פורטל שקיימת בו מגבלה של מדיניות הארגון עבור הפרויקט. אין תמיכה ב-CMEK בפורטלים משולבים. תצטרכו לעדכן את constraints/gcp.restrictNonCmekServicesההגבלה של מדיניות הארגון כדי להסיר את Apigee מרשימת השירותים שנדחו, כדי שתוכלו ליצור פורטל חדש.