Halaman ini menjelaskan penggunaan batasan kebijakan organisasi dengan Apigee.
Tidak semua fitur di Apigee menggunakan CMEK untuk enkripsi data sensitif. Untuk memastikan bahwa data yang memerlukan enkripsi dengan CMEK tidak menggunakan fitur yang tidak dilindungi CMEK tanpa disadari, fitur tersebut akan dinonaktifkan untuk project yang dibatasi CMEK hingga fitur tersebut mematuhi kebijakan. Hanya penggunaan fitur baru yang akan dinonaktifkan (membuat resource baru atau mengaktifkan add-on). Fitur dan resource yang sudah digunakan akan tetap tersedia dan dapat diedit, tetapi tidak dilindungi.
Pembuatan organisasi evaluasi diblokir oleh API gcloud alpha apigee organizations dan wizard penyediaan evaluasi. Saat mencoba melihat wizard penyediaan evaluasi, Anda akan melihat pesan: Evaluasi Apigee tidak tersedia.
Untuk mengetahui informasi selengkapnya tentang fitur yang dinonaktifkan untuk project yang dibatasi CMEK, lihat Batasan kebijakan organisasi.
Persyaratan
Istilah berikut digunakan dalam topik ini:
| Istilah | Definisi |
|---|---|
| CMEK | Kunci enkripsi yang dikelola pelanggan. Lihat Kunci enkripsi yang dikelola pelanggan untuk deskripsi mendetail. |
| batasan kebijakan organisasi | Batasan adalah jenis pembatasan tertentu terhadap layanan Google Cloud atau daftar layanan Google Cloud. Terkait CMEK, ada
dua batasan yang relevan:
|
| Penegakan | Jaminan bahwa sistem backend Apigee akan mematuhi batasan project (batasan CMEK dalam kasus ini) |
| Pra-validasi | Perilaku UI yang memandu Anda dalam memilih konfigurasi yang valid di Apigee sesuai dengan kebijakan organisasi CMEK dan tidak mengekspos fitur yang tidak mematuhi kebijakan |
| Resource | Resource Apigee seperti organisasi dan instance |
Cara membatasi layanan non-CMEK
Bagian ini menjelaskan cara membatasi layanan non-CMEK.
- Memenuhi prasyarat.
- Pilih Project Anda di konsol Google Cloud .
- Buat batasan kebijakan organisasi baru.
- Sediakan Apigee.
Prasyarat
Anda harus:
-
Memiliki
Peran administrator kebijakan organisasi.
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM
Organization policy administrator
(
roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses. - Memiliki prasyarat yang dijelaskan dalam Pengantar penyediaan.
- Gunakan organisasi berbayar (Langganan atau Bayar sesuai penggunaan).
- Gunakan residensi data.
Buka project
Di konsol Google Cloud , buka halaman Dashboard.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
Membuat batasan kebijakan organisasi
Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam kasus ini, Anda akan membuat batasan yang mewajibkan CMEK dan akan diterapkan ke project dan semua resource yang diwariskan dari project.
Untuk memastikan bahwa kunci enkripsi yang dikelola pelanggan selalu digunakan saat mengenkripsi data Anda di Apigee, buat batasan kebijakan organisasi berikut:
Di konsol Google Cloud , buka halaman Organization policies.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di kotak Filter, masukkan:
constraints/gcp.restrictNonCmekServices
- Klik Lainnya,
Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki
izin yang diperlukan dan perlu meminta administrator untuk memberi Anda
peran IAM
Organization policy administrator
(
roles/orgpolicy.policyAdmin) di organisasi. Lihat Prasyarat untuk informasi selengkapnya. - Untuk Policy source, pilih Override parent's policy. Resource ini akan memiliki kebijakan yang unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
- Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
- Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
- Gabungkan dengan induk. Opsi ini menambahkan aturan selain yang telah ditetapkan oleh resource induk.
Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.
- Klik Add a rule.
- Untuk Nilai kebijakan, pilih Kustom.
- Untuk Jenis kebijakan, pilih Tolak.
- Untuk Custom values, masukkan:
apigee.googleapis.com
- Klik Done.
- Klik Setel kebijakan. Halaman Policy details akan ditampilkan.
Setelah mengonfigurasi kebijakan dan memilih project yang mewarisi/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin mematuhi kebijakan; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.
Lihat juga:
Menyediakan Apigee
Penyediaan Apigee saat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan penyediaan Apigee saat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.
Bagian ini menjelaskan tempat panduan UI memandu Anda dalam membuat pilihan.
Di konsol Google Cloud , buka halaman Apigee.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di halaman Welcome to Apigee API management, Setup using defaults dinonaktifkan karena Anda harus memilih CMEK secara eksplisit. Klik Sesuaikan penyiapan Anda.
- Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan di Langkah 1: Aktifkan API yang diperlukan.
- Siapkan jaringan: Siapkan jaringan seperti yang dijelaskan di Langkah 2: Siapkan jaringan.
Mengonfigurasi hosting dan enkripsi:
Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.
- Klik Edit untuk membuka panel Kunci enkripsi dan hosting.
- Di bagian Jenis enkripsi, Kunci enkripsi yang dikelola Google dinonaktifkan dan Kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
- Klik Berikutnya.
- Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
- Lanjutkan konfigurasi hosting dan enkripsi seperti yang dijelaskan dalam langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
- Menyesuaikan perutean akses: Sesuaikan perutean akses seperti yang dijelaskan di Langkah 4: Menyesuaikan perutean akses.
Cara membatasi project kunci kriptografis CMEK
Bagian ini menjelaskan cara membatasi project kunci kripto CMEK.
Anda dapat membatasi project yang dapat menyediakan kunci enkripsi melalui batasan kebijakan organisasi lain: constraints/gcp.restrictCmekCryptoKeyProjects
Dengan batasan ini, Anda membuat daftar yang diizinkan untuk project yang dapat menggunakan kunci enkripsi.
Di mana pun Anda dapat memilih CMEK, yang saat ini dilakukan saat menyediakan Apigee atau membuat instance Apigee, batasan ini diterapkan.
Jika project saat ini yang dipilih di konsol Google Cloud tidak masuk daftar yang diizinkan
dalam batasan restrictCmekCryptoKeyProjects, Anda tidak akan
dapat memilih kunci apa pun dari kotak pilihan kunci enkripsi. Sebagai gantinya, Anda harus menggunakan kunci dari project yang ada dalam daftar yang diizinkan.
Prasyarat
Anda harus:
-
Memiliki
Peran administrator kebijakan organisasi.
Untuk mendapatkan izin yang diperlukan untuk mengelola kebijakan organisasi, minta administrator untuk memberi Anda peran IAM
Organization policy administrator
(
roles/orgpolicy.policyAdmin) di organisasi. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses. - Memiliki prasyarat yang dijelaskan dalam Pengantar penyediaan.
- Menggunakan organisasi berbayar (Langganan atau Bayar sesuai penggunaan)
- Menggunakan residensi data
- Lakukan penyediaan menggunakan konsol Google Cloud (Langganan atau Bayar sesuai penggunaan).
- Ketahui project mana yang berisi kunci yang ingin Anda gunakan.
Buka project
Di konsol Google Cloud , buka halaman Dashboard.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
Membuat batasan kebijakan organisasi
Kebijakan organisasi ditentukan oleh nilai yang ditetapkan untuk setiap batasan. Kebijakan ini dikonfigurasi di tingkat resource ini, diwarisi dari resource induk, atau ditetapkan ke perilaku default yang dikelola Google. Dalam hal ini, Anda akan membuat batasan yang hanya mengizinkan kunci dari project yang diizinkan. Batasan ini akan diterapkan ke project dan semua resource yang diwarisi dari project.
Untuk memastikan kunci enkripsi yang dikelola pelanggan hanya digunakan dari project tertentu, tambahkan kunci tersebut ke daftar yang diizinkan:
Di konsol Google Cloud , buka halaman Organization policies.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di kotak Filter, masukkan:
restrictCmekCryptoKeyProjects
- Klik Lainnya,
Edit kebijakan. Jika Edit dinonaktifkan, Anda tidak memiliki
izin yang diperlukan dan perlu meminta administrator untuk memberi Anda
peran IAM
Administrator kebijakan organisasi
(
roles/orgpolicy.policyAdmin) di organisasi. Lihat Prasyarat untuk informasi selengkapnya. - Untuk Policy source, pilih Override parent's policy. Resource ini akan memiliki kebijakan yang unik. Pada langkah berikutnya, Anda akan menentukan cara penanganan aturan kebijakan induk.
- Untuk Penerapan kebijakan, pilih salah satu opsi berikut:
- Ganti. Opsi ini mengabaikan kebijakan induk dan menggunakan aturan ini.
- Gabungkan dengan induk. Opsi ini menambahkan aturan selain yang telah ditetapkan oleh resource induk.
Lihat Memahami evaluasi hierarki untuk penjelasan tentang pewarisan kebijakan organisasi.
- Klik Add a rule.
- Untuk Nilai kebijakan, pilih Kustom.
- Untuk Jenis kebijakan, pilih Izinkan.
- Untuk Custom values, masukkan:
projects/PROJECT_ID
Ganti PROJECT_ID dengan project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada. Sebagai contoh,
my-kms-project. - Klik Done.
- Klik Setel kebijakan. Halaman Policy details akan ditampilkan.
Setelah mengonfigurasi kebijakan dan memilih project yang mewarisi/menggunakan kebijakan, Anda siap menyediakan Apigee. Perhatikan bahwa resource Apigee yang dibuat sebelum mengonfigurasi kebijakan organisasi CMEK tidak akan dijamin mematuhi kebijakan tersebut; hanya resource baru yang dibuat setelah kebijakan diterapkan yang akan mematuhi batasan CMEK.
Lihat juga:
Menyediakan Apigee
Penyediaan Apigee saat Anda memiliki batasan kebijakan organisasi terdiri dari langkah-langkah yang sama dengan penyediaan Apigee saat Anda tidak memiliki batasan kebijakan organisasi; namun, UI mencegah Anda membuat pilihan yang tidak didukung.
Bagian ini menjelaskan tempat UI memandu Anda dalam membuat pilihan.
Di konsol Google Cloud , buka halaman Apigee.
- Pilih project Anda di menu drop-down konsol Google Cloud jika belum dipilih.
- Di halaman Welcome to Apigee API management, Klik Customize your setup.
- Aktifkan API: Aktifkan API yang diperlukan seperti yang dijelaskan di Langkah 1: Aktifkan API yang diperlukan.
- Siapkan jaringan: Siapkan jaringan seperti yang dijelaskan di Langkah 2: Siapkan jaringan.
Mengonfigurasi hosting dan enkripsi:
Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data adalah satu-satunya perjalanan pengguna yang relevan untuk batasan kebijakan organisasi yang membatasi layanan non-CMEK.
- Klik Edit untuk membuka panel Kunci enkripsi dan hosting.
- Di bagian Jenis enkripsi, kunci enkripsi yang dikelola Google dinonaktifkan dan kunci enkripsi yang dikelola pelanggan diaktifkan dan tidak dapat dinonaktifkan.
- Klik Berikutnya.
- Di bagian Control Plane, Enable data residency diaktifkan dan tidak dapat dinonaktifkan.
- Lanjutkan konfigurasi hosting dan enkripsi seperti yang dijelaskan dalam langkah 3.b. dari Perjalanan pengguna D: Enkripsi yang dikelola pelanggan, dengan residensi data.
- Menyesuaikan perutean akses: Sesuaikan perutean akses seperti yang dijelaskan di Langkah 4: Menyesuaikan perutean akses.
Menggunakan kunci dari project yang ada dalam daftar yang diizinkan
Untuk menggunakan kunci dari project yang masuk dalam daftar yang diizinkan di Apigee, Anda harus memasukkan kunci secara manual berdasarkan ID resource-nya. Kunci apa pun yang Anda masukkan secara manual juga akan divalidasi untuk memastikan bahwa projectnya valid berdasarkan project yang diizinkan dalam batasan.
Cara mendapatkan Google Cloud ID resource KMS
Lihat: Mendapatkan ID resource Cloud KMS
Pemecahan masalah
Tabel berikut menjelaskan beberapa kondisi error umum yang mungkin muncul dengan batasan kebijakan organisasi dan CMEK.
| Pesan error | Penyebab | Langkah-langkah yang harus dilakukan |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Anda mencoba menyediakan org uji coba yang memiliki batasan kebijakan organisasi untuk project tersebut. |
CMEK tidak didukung untuk organisasi uji coba/evaluasi. Anda harus memperbarui
batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices
untuk menghapus Apigee dari daftar layanan yang ditolak agar dapat
menyediakan org uji coba. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Anda mencoba menyediakan organisasi global yang memiliki batasan kebijakan organisasi untuk project tersebut. |
CMEK tidak didukung untuk organisasi global. Anda harus memperbarui batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus Apigee dari daftar layanan yang ditolak atau menggunakan lokasi yang berbeda untuk membuat organisasi.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Anda mencoba menyediakan organisasi yang memiliki batasan kebijakan organisasi untuk project tanpa menentukan KMS CryptoKey. |
Anda telah menetapkan kode dalam kebijakan organisasi yang mengharuskan Anda memberikan CMEK untuk mengenkripsi data Anda. Anda harus memberikan kunci CMEK agar dapat membuat organisasi atau
instance. Jika tidak ingin menerapkan CMEK, Anda dapat memperbarui
batasan kebijakan organisasi constraints/gcp.restrictNonCmekServices untuk menghapus
Apigee dari daftar layanan yang ditolak. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Anda mencoba menyediakan organisasi yang memiliki batasan kebijakan organisasi untuk project dan menentukan KMS CryptoKey yang tidak ada dalam daftar yang diizinkan. |
Anda telah menetapkan constraints/gcp.restrictCmekCryptoKeyProjects
dalam kebijakan organisasi yang mengharuskan Anda memberikan kunci CMEK dari project yang diizinkan yang tercantum oleh Anda. Anda harus memberikan kunci CMEK dari
project yang diizinkan agar dapat membuat organisasi atau instance. Atau,
Anda dapat memperbarui batasan kebijakan organisasi
constraints/gcp.restrictCmekCryptoKeyProjects untuk mengizinkan kunci
dari project Google Cloud tertentu yang Anda inginkan.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Anda mencoba membuat portal yang memiliki batasan kebijakan organisasi untuk project. |
CMEK tidak didukung untuk Portal Terintegrasi. Anda harus memperbarui
batasan kebijakan organisasi
constraints/gcp.restrictNonCmekServices untuk menghapus
Apigee dari daftar layanan yang ditolak agar dapat membuat
portal baru.
|