Questa pagina descrive l'utilizzo dei vincoli delle policy dell'organizzazione con Apigee.
Non tutte le funzionalità di Apigee utilizzano CMEK per la crittografia dei dati sensibili. Per garantire che i dati che richiedono la crittografia con CMEK non utilizzino inavvertitamente funzionalità non protette da CMEK, queste funzionalità verranno disattivate per i progetti con vincoli CMEK finché non saranno conformi. Verranno disabilitati solo i nuovi utilizzi delle funzionalità (creazione di nuove risorse o attivazione di un componente aggiuntivo). Le funzionalità e le risorse già in uso rimarranno disponibili e modificabili, ma non protette.
La creazione di organizzazioni di valutazione è bloccata sia dall'API gcloud alpha apigee organizations sia dalla procedura guidata di provisioning di valutazione. Quando provi a visualizzare la procedura guidata per il provisioning della valutazione, visualizzerai il messaggio: La valutazione di Apigee non è disponibile.
Per saperne di più sulle funzionalità disattivate per i progetti con vincoli CMEK, consulta Vincoli delle policy dell'organizzazione.
Termini
In questo argomento vengono utilizzati i seguenti termini:
| Termine | Definizione |
|---|---|
| CMEK | Chiave di crittografia gestita dal cliente. Per una descrizione dettagliata, vedi Chiavi di crittografia gestite dal cliente. |
| vincoli dei criteri dell'organizzazione | Un vincolo è un tipo particolare di limitazione per un servizio Google Cloud o un elenco di servizi Google Cloud . Google CloudPer quanto riguarda CMEK, esistono
due vincoli pertinenti:
|
| Applicazione | Una garanzia che i sistemi di backend di Apigee rispetteranno il vincolo di un progetto (in questo caso, i vincoli CMEK) |
| Preconvalida | Comportamenti della UI che ti guidano nella selezione di configurazioni valide in Apigee in conformità con i criteri dell'organizzazione CMEK e non espongono funzionalità non conformi |
| Risorse | Risorse Apigee come organizzazioni e istanze |
Come limitare i servizi non CMEK
Questa sezione descrive come limitare i servizi non CMEK.
- Soddisfare i prerequisiti.
- Seleziona il tuo progetto nella console Google Cloud .
- Crea un nuovo vincolo della policy dell'organizzazione.
- Provisioning di Apigee.
Prerequisiti
Devi:
-
Disporre del
ruolo Amministratore policy dell'organizzazione.
Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM
Organization Policy Administrator (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. - Soddisfare i prerequisiti descritti nella sezione Introduzione al provisioning.
- Utilizza un'organizzazione a pagamento (abbonamento o pagamento a consumo).
- Utilizza la residenza dei dati.
Apri progetto
Nella console Google Cloud , vai alla pagina Dashboard.
- Se non è già selezionato, seleziona il tuo progetto nell'elenco a discesa della console Google Cloud .
Crea un vincolo delle policy dell'organizzazione
I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurate a livello di questa risorsa, ereditate dalla risorsa padre o impostate sul comportamento predefinito gestito da Google. In questo caso, creerai un vincolo che richiede CMEK e che verrà applicato al progetto e a tutte le risorse che ereditano dal progetto.
Per garantire che le chiavi di crittografia gestite dal cliente vengano sempre utilizzate durante la crittografia dei dati in Apigee, crea il seguente vincolo del criterio dell'organizzazione:
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Se non è già selezionato, seleziona il tuo progetto nell'elenco a discesa della console Google Cloud .
- Nella casella Filtro, inserisci:
constraints/gcp.restrictNonCmekServices
- Fai clic su Altro,
Modifica norma. Se l'opzione Modifica è disattivata, non disponi delle autorizzazioni richieste e devi chiedere all'amministratore di concederti il ruolo IAM
Amministratore policy dell'organizzazione (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più, consulta la sezione Prerequisiti. - Per Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale. Questa risorsa avrà un criterio univoco. Nel passaggio successivo specifica come vengono gestite le regole dei criteri principali.
- Per Applicazione forzata dei criteri, seleziona una delle seguenti opzioni:
- Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
- Unisci con risorsa padre. Questa opzione aggiunge altre regole oltre a quelle impostate per la risorsa principale.
Consulta Informazioni sulla valutazione della gerarchia per una spiegazione dell'ereditarietà delle policy dell'organizzazione.
- Fai clic su Aggiungi una regola.
- In Valori policy, seleziona Personalizzato.
- Per Tipo di policy, seleziona Nega.
- Per Valori personalizzati, inserisci:
apigee.googleapis.com
- Fai clic su Fine.
- Fai clic su Imposta policy. Viene visualizzata la pagina Dettagli policy.
Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che non è garantita la conformità delle risorse Apigee create prima della configurazione delle policy dell'organizzazione CMEK; solo le nuove risorse create dopo l'implementazione della policy rispetteranno i vincoli CMEK.
Vedi anche:
Provisioning di Apigee
Il provisioning di Apigee in cui sono presenti vincoli dei criteri dell'organizzazione consiste negli stessi passaggi del provisioning di Apigee in cui non sono presenti vincoli dei criteri dell'organizzazione. Tuttavia, la UI impedisce di effettuare selezioni non supportate.
Questa sezione descrive dove l'interfaccia utente ti guida nella selezione.
Nella console Google Cloud , vai alla pagina Apigee.
- Se non è già selezionato, seleziona il tuo progetto nell'elenco a discesa della console Google Cloud .
- Nella pagina Ti diamo il benvenuto nella gestione delle API Apigee, l'opzione Configurazione con impostazioni predefinite è disattivata perché devi selezionare esplicitamente le CMEK. Fai clic su Personalizza la configurazione.
- Abilita le API: abilita le API richieste come descritto nel Passaggio 1: abilita le API richieste.
- Configura il networking: configura il networking come descritto nel Passaggio 2: configura il networking.
Configura hosting e crittografia:
Il percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati è l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano i servizi non CMEK.
- Fai clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.
- Nella sezione Tipo di crittografia, l'opzione Chiave di crittografia gestita da Google è disattivata e l'opzione Chiave di crittografia gestita dal cliente è attivata e non può essere disattivata.
- Fai clic su Avanti.
- Nella sezione Control Plane, l'opzione Abilita residenza dei dati è abilitata e non può essere disattivata.
- Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b di User journey D: Customer-managed encryption, with data residency.
- Personalizza il routing degli accessi: Personalizza il routing degli accessi come descritto nel Passaggio 4: personalizza il routing degli accessi.
Come limitare i progetti di chiavi di crittografia CMEK
Questa sezione descrive come limitare i progetti di chiavi di crittografia CMEK.
Puoi limitare i progetti che possono fornire chiavi di crittografia tramite un altro
vincolo dei criteri dell'organizzazione: constraints/gcp.restrictCmekCryptoKeyProjects
Con questo vincolo, inserisci nella lista consentita i progetti da cui possono essere utilizzate le chiavi di crittografia.
Ovunque tu possa selezionare una CMEK, ovvero attualmente durante il provisioning di Apigee o la creazione di un'istanza Apigee, questo vincolo viene applicato.
Se il progetto corrente selezionato nella console Google Cloud non è incluso nella lista consentita
nel vincolo restrictCmekCryptoKeyProjects, non potrai
selezionare alcuna chiave dalla casella di selezione della chiave di crittografia. Dovrai invece utilizzare una chiave di un progetto presente nella lista consentita.
Prerequisiti
Devi:
-
Disporre del
ruolo Amministratore policy dell'organizzazione.
Per ottenere le autorizzazioni necessarie per gestire le policy dell'organizzazione, chiedi all'amministratore di concederti il ruolo IAM
Organization Policy Administrator (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso. - Soddisfare i prerequisiti descritti nella sezione Introduzione al provisioning.
- Utilizzare un'organizzazione a pagamento (abbonamento o pagamento a consumo)
- Utilizzare la residenza dei dati
- Esegui il provisioning utilizzando la console Google Cloud (abbonamento o pagamento a consumo).
- Scopri quale progetto contiene le chiavi che vuoi utilizzare.
Apri progetto
Nella console Google Cloud , vai alla pagina Dashboard.
- Se non è già selezionato, seleziona il tuo progetto nell'elenco a discesa della console Google Cloud .
Crea un vincolo delle policy dell'organizzazione
I criteri dell'organizzazione sono definiti dai valori impostati per ogni vincolo. Sono configurate a livello di questa risorsa, ereditate dalla risorsa padre o impostate sul comportamento predefinito gestito da Google. In questo caso, creerai un vincolo che consente le chiavi solo dei progetti inclusi nella lista consentita. Questo vincolo verrà applicato al progetto e a tutte le risorse che ereditano dal progetto.
Per garantire che le chiavi di crittografia gestite dal cliente vengano utilizzate solo da progetti specifici, aggiungile a una lista consentita:
Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.
- Se non è già selezionato, seleziona il progetto nell'elenco a discesa della console Google Cloud .
- Nella casella Filtro, inserisci:
restrictCmekCryptoKeyProjects
- Fai clic su Altro,
Modifica norma. Se l'opzione Modifica è disattivata, non disponi delle autorizzazioni richieste e devi chiedere all'amministratore di concederti il ruolo IAM
Amministratore policy dell'organizzazione (
roles/orgpolicy.policyAdmin) nell'organizzazione. Per saperne di più, consulta la sezione Prerequisiti. - Per Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale. Questa risorsa avrà un criterio univoco. Nel passaggio successivo specifica come vengono gestite le regole dei criteri principali.
- Per Applicazione forzata dei criteri, seleziona una delle seguenti opzioni:
- Sostituisci. Questa opzione ignora il criterio della risorsa padre e utilizza queste regole.
- Unisci con risorsa padre. Questa opzione aggiunge altre regole oltre a quelle impostate per la risorsa principale.
Consulta Informazioni sulla valutazione della gerarchia per una spiegazione dell'ereditarietà delle policy dell'organizzazione.
- Fai clic su Aggiungi una regola.
- In Valori policy, seleziona Personalizzato.
- In Tipo di policy, seleziona Consenti.
- Per Valori personalizzati, inserisci:
projects/PROJECT_ID
Sostituisci PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare. Ad esempio,
my-kms-project. - Fai clic su Fine.
- Fai clic su Imposta policy. Viene visualizzata la pagina Dettagli policy.
Dopo aver configurato il criterio e selezionato un progetto che eredita/utilizza il criterio, puoi eseguire il provisioning di Apigee. Tieni presente che non è garantita la conformità delle risorse Apigee create prima della configurazione delle policy dell'organizzazione CMEK; solo le nuove risorse create dopo l'implementazione della policy rispetteranno i vincoli CMEK.
Vedi anche:
Provisioning di Apigee
Il provisioning di Apigee in cui sono presenti vincoli dei criteri dell'organizzazione prevede gli stessi passaggi del provisioning di Apigee in cui non sono presenti vincoli dei criteri dell'organizzazione. Tuttavia, la UI impedisce di effettuare selezioni non supportate.
Questa sezione descrive dove l'interfaccia utente ti guida nella selezione.
Nella console Google Cloud , vai alla pagina Apigee.
- Se non è già selezionato, seleziona il tuo progetto nell'elenco a discesa della console Google Cloud .
- Nella pagina Ti diamo il benvenuto nella gestione delle API Apigee, fai clic su Personalizza la configurazione.
- Abilita le API: abilita le API richieste come descritto nel Passaggio 1: abilita le API richieste.
- Configura il networking: configura il networking come descritto nel Passaggio 2: configura il networking.
Configura hosting e crittografia:
Il percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati è l'unico percorso dell'utente pertinente per i vincoli dei criteri dell'organizzazione che limitano i servizi non CMEK.
- Fai clic su Modifica per aprire il riquadro Hosting e chiavi di crittografia.
- Nella sezione Tipo di crittografia, l'opzione Chiave di crittografia gestita da Google è disattivata e l'opzione Chiave di crittografia gestita dal cliente è attivata e non può essere disattivata.
- Fai clic su Avanti.
- Nella sezione Control Plane, l'opzione Abilita residenza dei dati è abilitata e non può essere disattivata.
- Continua a configurare l'hosting e la crittografia come descritto nel passaggio 3.b del customer journey D: crittografia gestita dal cliente, con residenza dei dati.
- Personalizza il routing degli accessi: Personalizza il routing degli accessi come descritto nel Passaggio 4: personalizza il routing degli accessi.
Utilizzare una chiave di un progetto presente nella lista consentita
Per utilizzare una chiave di un progetto inserito nella lista consentita in Apigee, dovrai inserirla manualmente tramite il relativo ID risorsa. Qualsiasi chiave inserita manualmente verrà convalidata per garantire che il progetto sia valido in base ai progetti consentiti nel vincolo.
Come ottenere un Google Cloud ID risorsa KMS
Consulta Recupero di un ID risorsa di Cloud KMS.
Risoluzione dei problemi
La seguente tabella descrive alcune condizioni di errore comuni che possono verificarsi con i vincoli CMEK e delle policy dell'organizzazione.
| Messaggio di errore | Causa | Procedura |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable trial org. CMEK is not
supported for trial orgs. To use trial orgs, adjust the
gcp.restrictNonCmekServices constraint for this project. |
Hai tentato di eseguire il provisioning di un'organizzazione di prova in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. |
CMEK non è supportato per le organizzazioni di prova/valutazione. Dovrai aggiornare
il vincolo dei criteri dell'organizzazione constraints/gcp.restrictNonCmekServices
per rimuovere Apigee dall'elenco dei servizi negati per poter
eseguire il provisioning di un'organizzazione di prova. |
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create or enable global org. CMEK is not
supported in location 'global', select another location or adjust the
code constraint for this project. |
Hai tentato di eseguire il provisioning di un'organizzazione globale in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. |
CMEK non è supportata per le organizzazioni globali. Dovrai aggiornare il vincolo
del criterio dell'organizzazione constraints/gcp.restrictNonCmekServices
per rimuovere Apigee dall'elenco dei servizi negati o utilizzare una località diversa
per creare le organizzazioni.
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a resource without specifying
a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.
|
Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo di policy dell'organizzazione per il progetto senza specificare una CryptoKey KMS. |
Hai impostato un codice nelle norme dell'organizzazione che richiede di fornire una chiave CMEK per criptare i tuoi dati. Per poter creare un'organizzazione o istanze, devi fornire la chiave CMEK. Se non vuoi applicare CMEK, puoi aggiornare
il vincolo del criterio dell'organizzazione constraints/gcp.restrictNonCmekServices per rimuovere
Apigee dall'elenco dei servizi negati. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for
projects/my-project attempting to use
projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1
key. Use a key from a project that is allowed by
|
Hai tentato di eseguire il provisioning di un'organizzazione in cui esiste un vincolo di policy dell'organizzazione per il progetto e hai specificato una CryptoKey KMS che non è inclusa nella lista consentita. |
Hai impostato constraints/gcp.restrictCmekCryptoKeyProjects
nelle policy dell'organizzazione che richiedono di fornire una chiave CMEK dai progetti consentiti elencati. Per poter creare un'organizzazione o delle istanze, devi fornire la chiave CMEK di un progetto consentito. In alternativa, puoi aggiornare il vincolo del criterio dell'organizzazione constraints/gcp.restrictCmekCryptoKeyProjects per consentire le chiavi del progetto specifico che preferisci. Google Cloud
|
Constraint constraints/gcp.restrictNonCmekServices violated for
projects/my-project attempting to create a portal. Integrated
portals do not support the use of CMEK. To use integrated portals,
adjust the gcp.restrictNonCmekServices policy constraint.
|
Hai tentato di creare un portale in cui esiste un vincolo dei criteri dell'organizzazione per il progetto. |
CMEK non è supportata per i portali integrati. Dovrai aggiornare
il vincolo della policy dell'organizzazione
constraints/gcp.restrictNonCmekServices per rimuovere
Apigee dall'elenco dei servizi negati per poter creare un nuovo
portale.
|