Einschränkungen von Organisationsrichtlinien in Apigee verwenden

Auf dieser Seite wird beschrieben, wie Sie Organisationsrichtlinieneinschränkungen mit Apigee verwenden.

Nicht jede Funktion in Apigee verwendet CMEK für die Verschlüsselung sensibler Daten. Damit Daten, die mit CMEK verschlüsselt werden müssen, nicht unwissentlich Funktionen verwenden, die nicht CMEK-geschützt sind, werden diese Funktionen für Projekte mit CMEK-Einschränkungen deaktiviert, bis sie konform sind. Nur die neue Nutzung der Funktionen wird deaktiviert (Erstellen neuer Ressourcen oder Aktivieren eines Add-ons). Funktionen und Ressourcen, die bereits verwendet werden, bleiben verfügbar und können bearbeitet werden, sind aber nicht geschützt.

Die Erstellung von Evaluierungsorganisationen wird sowohl durch die gcloud alpha apigee organizations API als auch durch den Evaluierungsbereitstellungsassistenten blockiert. Wenn Sie versuchen, den Assistenten zur Bereitstellung der Evaluierung aufzurufen, wird die Meldung Apigee-Evaluierung ist nicht verfügbar angezeigt.

Weitere Informationen zu den Funktionen, die für Projekte mit CMEK-Einschränkungen deaktiviert sind, finden Sie unter Einschränkungen für Organisationsrichtlinien.

Nutzungsbedingungen

Die folgenden Begriffe werden in diesem Dokument verwendet:

Begriff	Definition
CMEK	Vom Kunden verwalteter Verschlüsselungsschlüssel. Eine ausführliche Beschreibung finden Sie unter Kundenverwaltete Verschlüsselungsschlüssel.
Einschränkungen für Organisationsrichtlinien	Eine Einschränkung wird spezifisch für einen Google Cloud -Dienst oder eine Liste von Google Cloud-Diensten festgelegt. In Bezug auf CMEK gibt es zwei relevante Einschränkungen: constraints/gcp.restrictNonCmekServices constraints/gcp.restrictCmekCryptoKeyProjects
Erzwingung	Eine Garantie dafür, dass die Back-End-Systeme von Apigee die Einschränkung eines Projekts (in diesem Fall CMEK-Einschränkungen) einhalten.
Vorabprüfung	UI-Verhaltensweisen, die Sie bei der Auswahl gültiger Konfigurationen in Apigee gemäß CMEK-Organisationsrichtlinien unterstützen und keine Funktionen verfügbar machen, die nicht konform sind
Ressourcen	Apigee-Ressourcen wie Organisationen und Instanzen

Nicht-CMEK-Dienste einschränken

In diesem Abschnitt wird beschrieben, wie Sie Dienste ohne CMEK einschränken.

1. Erfüllen Sie die Voraussetzungen.
2. Wählen Sie in der Google Cloud Console Ihr Projekt aus.
3. Neue Einschränkung für Organisationsrichtlinien erstellen
4. Apigee bereitstellen.

Vorbereitung

Aufgabe:

• Sie haben die Rolle „Administrator für Unternehmensrichtlinien“. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
• Erfüllen Sie die unter Einführung in die Bereitstellung beschriebenen Voraussetzungen.
• Verwenden Sie eine kostenpflichtige Organisation (Abo oder „Pay as you go“).
• Datenstandort verwenden

Projekt öffnen

1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

   Zu Google Dashboard

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.

Einschränkung für Organisationsrichtlinie erstellen

Organisationsrichtlinien werden anhand der Werte definiert, die für jede Einschränkung festgelegt sind. Sie werden entweder auf der Ebene dieser Ressource angepasst, von der übergeordneten Ressource übernommen oder auf das von Google verwaltete Standardverhalten festgelegt. In diesem Fall erstellen Sie eine Einschränkung, die CMEK erfordert und auf das Projekt und alle Ressourcen angewendet wird, die vom Projekt abgeleitet werden.

Damit kundenverwaltete Verschlüsselungsschlüssel immer verwendet werden, wenn Ihre Daten in Apigee verschlüsselt werden, erstellen Sie die folgende Einschränkung für Organisationsrichtlinien:

1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

   Zu den Organisationsrichtlinien

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.
3. Geben Sie im Filterfeld Folgendes ein:

   constraints/gcp.restrictNonCmekServices

4. Klicken Sie auf more_vert Mehr, Richtlinie bearbeiten. Wenn Bearbeiten deaktiviert ist, haben Sie nicht die erforderlichen Berechtigungen und müssen Ihren Administrator bitten, Ihnen die IAM-Rolle Organisationsrichtlinienadministrator (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen. Weitere Informationen finden Sie unter Voraussetzungen.
5. Wählen Sie unter Richtlinienquelle die Option Richtlinie der übergeordneten Ressource überschreiben aus. Für diese Ressource wird eine eindeutige Richtlinie festgelegt. Im nächsten Schritt legen Sie fest, wie die Regeln der übergeordneten Richtlinie behandelt werden.
6. Wählen Sie unter Richtlinienerzwingung eine der folgenden Optionen aus:
   • Ersetzen. Bei dieser Option wird die Richtlinie des übergeordneten Unternehmens ignoriert und es werden diese Regeln verwendet.
   • Mit übergeordneter Ressource zusammenführen. Mit dieser Option werden zusätzlich zu den von der übergeordneten Ressource festgelegten Regeln weitere hinzugefügt.

   Eine Erläuterung zur Übernahme von Organisationsrichtlinien finden Sie unter Informationen zu Evaluierungen der Hierarchie.

7. Klicken Sie auf Regel hinzufügen.
8. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.
9. Wählen Sie für Richtlinientyp die Option Ablehnen aus.
10. Geben Sie für Benutzerdefinierte Werte Folgendes ein:

    apigee.googleapis.com

11. Klicken Sie auf Fertig.
12. Klicken Sie auf Richtlinie festlegen. Die Seite Richtliniendetails wird angezeigt.

Nachdem Sie die Richtlinie konfiguriert und ein Projekt ausgewählt haben, das die Richtlinie erbt oder verwendet, können Sie Apigee bereitstellen. Apigee-Ressourcen, die vor der Konfiguration von CMEK-Organisationsrichtlinien erstellt wurden, sind möglicherweise nicht konform. Nur neue Ressourcen, die nach der Einführung der Richtlinie erstellt werden, entsprechen den CMEK-Einschränkungen.

Siehe auch:

• Einschränkungen verwenden
• CMEK-spezifische Beispiele

Apigee bereitstellen

Die Bereitstellung von Apigee, für die Einschränkungen durch Organisationsrichtlinien gelten, umfasst dieselben Schritte wie die Bereitstellung von Apigee, für die keine Einschränkungen durch Organisationsrichtlinien gelten. Die Benutzeroberfläche verhindert jedoch, dass Sie Auswahlen treffen, die nicht unterstützt werden.

In diesem Abschnitt wird beschrieben, wo Sie in der Benutzeroberfläche Auswahlmöglichkeiten haben.

1. Rufen Sie in der Google Cloud Console die Seite Apigee auf.

   Zu „Apigee“

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.
3. Auf der Seite Willkommen bei Apigee API Management ist Mit Standardeinstellungen einrichten deaktiviert, da Sie CMEKs explizit auswählen müssen. Klicken Sie auf Einrichtung anpassen.
4. APIs aktivieren: Aktivieren Sie die erforderlichen APIs wie in Schritt 1: Erforderliche APIs aktivieren beschrieben.
5. Netzwerk einrichten: Richten Sie das Netzwerk wie in Schritt 2: Netzwerk einrichten beschrieben ein.

6. Hosting und Verschlüsselung konfigurieren:

   Nutzerpfad D: Kundenverwaltete Verschlüsselung, mit Datenstandort ist der einzige relevante Nutzerpfad für Einschränkungen von Organisationsrichtlinien, die Nicht-CMEK-Dienste einschränken.

   1. Klicken Sie auf edit Bearbeiten, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.
   2. Im Abschnitt Verschlüsselungstyp ist Von Google verwalteter Verschlüsselungsschlüssel deaktiviert und Vom Kunden verwalteter Verschlüsselungsschlüssel aktiviert und kann nicht deaktiviert werden.
   3. Klicken Sie auf Weiter.
   4. Im Abschnitt Steuerungsebene ist Datenstandort aktivieren aktiviert und kann nicht deaktiviert werden.
   5. Fahren Sie mit der Konfiguration von Hosting und Verschlüsselung fort, wie in Schritt 3b von Nutzerpfad D: Kundenverwaltete Verschlüsselung, mit Datenstandort beschrieben.
7. Zugriffsrouting anpassen: Passen Sie das Zugriffsrouting wie in Schritt 4: Zugriffsrouting anpassen beschrieben an.

CMEK-Projekte für kryptografische Schlüssel einschränken

In diesem Abschnitt wird beschrieben, wie Sie CMEK-Kryptoschlüsselprojekte einschränken.

Sie können einschränken, welche Projekte Verschlüsselungsschlüssel bereitstellen können, indem Sie eine weitere Einschränkung für Organisationsrichtlinien verwenden: constraints/gcp.restrictCmekCryptoKeyProjects Mit dieser Einschränkung können Sie Projekte auf die Zulassungsliste setzen, aus denen Verschlüsselungsschlüssel verwendet werden können.

Überall dort, wo Sie einen CMEK auswählen können, was derzeit bei der Bereitstellung von Apigee oder beim Erstellen einer Apigee-Instanz der Fall ist, wird diese Einschränkung erzwungen.

Wenn das aktuelle Projekt, das in der Google Cloud Console ausgewählt ist, nicht in der restrictCmekCryptoKeyProjects-Einschränkung auf der Zulassungsliste steht, können Sie keine Schlüssel aus dem Auswahlfeld für Verschlüsselungsschlüssel auswählen. Stattdessen müssen Sie einen Schlüssel aus einem Projekt verwenden, das auf der Zulassungsliste steht.

Vorbereitung

Aufgabe:

• Sie haben die Rolle „Administrator für Unternehmensrichtlinien“. Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization policy administrator (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Verwalten von Organisationsrichtlinien benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
• Erfüllen Sie die unter Einführung in die Bereitstellung beschriebenen Voraussetzungen.
• Kostenpflichtige Organisation verwenden (Abo oder „Pay as you go“)
• Datenstandort verwenden
• Bereitstellung über die Google Cloud Console (Abo oder „Pay as you go“)
• Sie wissen, in welchem Projekt sich die Schlüssel befinden, die Sie verwenden möchten.

Projekt öffnen

1. Rufen Sie in der Google Cloud Console die Seite Dashboard auf.

   Zu Google Dashboard

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.

Einschränkung für Organisationsrichtlinie erstellen

Organisationsrichtlinien werden anhand der Werte definiert, die für jede Einschränkung festgelegt sind. Sie werden entweder auf der Ebene dieser Ressource konfiguriert, von der übergeordneten Ressource übernommen oder auf das von Google verwaltete Standardverhalten festgelegt. In diesem Fall erstellen Sie eine Einschränkung, die nur Schlüssel aus Projekten auf der Zulassungsliste zulässt. Diese Einschränkung wird auf das Projekt und alle Ressourcen angewendet, die vom Projekt abgeleitet werden.

Wenn Sie dafür sorgen möchten, dass kundenverwaltete Verschlüsselungsschlüssel nur aus bestimmten Projekten verwendet werden, fügen Sie sie einer Zulassungsliste hinzu:

1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

   Zu den Organisationsrichtlinien

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.
3. Geben Sie im Filterfeld Folgendes ein:

   restrictCmekCryptoKeyProjects

4. Klicken Sie auf more_vert Mehr, Richtlinie bearbeiten. Wenn Bearbeiten deaktiviert ist, haben Sie nicht die erforderlichen Berechtigungen und müssen Ihren Administrator bitten, Ihnen die IAM-Rolle Organisationsrichtlinienadministrator (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen. Weitere Informationen finden Sie unter Voraussetzungen.
5. Wählen Sie unter Richtlinienquelle die Option Richtlinie der übergeordneten Ressource überschreiben aus. Für diese Ressource wird eine eindeutige Richtlinie festgelegt. Im nächsten Schritt legen Sie fest, wie die Regeln der übergeordneten Richtlinie behandelt werden.
6. Wählen Sie unter Richtlinienerzwingung eine der folgenden Optionen aus:
   • Ersetzen. Bei dieser Option wird die Richtlinie des übergeordneten Unternehmens ignoriert und es werden diese Regeln verwendet.
   • Mit übergeordneter Ressource zusammenführen. Mit dieser Option werden zusätzlich zu den von der übergeordneten Ressource festgelegten Regeln weitere hinzugefügt.

   Eine Erläuterung zur Übernahme von Organisationsrichtlinien finden Sie unter Informationen zu Evaluierungen der Hierarchie.

7. Klicken Sie auf Regel hinzufügen.
8. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.
9. Wählen Sie für Richtlinientyp Zulassen aus.
10. Geben Sie für Benutzerdefinierte Werte Folgendes ein:

    projects/PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die Projekt-ID, in der sich die Cloud KMS-Schlüssel befinden, die Sie verwenden möchten. Beispiel: my-kms-project.

11. Klicken Sie auf Fertig.
12. Klicken Sie auf Richtlinie festlegen. Die Seite Richtliniendetails wird angezeigt.

Nachdem Sie die Richtlinie konfiguriert und ein Projekt ausgewählt haben, das die Richtlinie erbt oder verwendet, können Sie Apigee bereitstellen. Apigee-Ressourcen, die vor der Konfiguration von CMEK-Organisationsrichtlinien erstellt wurden, sind möglicherweise nicht konform. Nur neue Ressourcen, die nach der Einrichtung der Richtlinie erstellt werden, entsprechen den CMEK-Einschränkungen.

Siehe auch:

• Einschränkungen verwenden
• CMEK-spezifische Beispiele

Apigee bereitstellen

Die Bereitstellung von Apigee, für die Einschränkungen durch Organisationsrichtlinien gelten, umfasst dieselben Schritte wie die Bereitstellung von Apigee, für die keine Einschränkungen durch Organisationsrichtlinien gelten. Die Benutzeroberfläche verhindert jedoch, dass Sie Auswahlen treffen, die nicht unterstützt werden.

In diesem Abschnitt wird beschrieben, wo Sie in der Benutzeroberfläche Auswahlmöglichkeiten haben.

1. Rufen Sie in der Google Cloud Console die Seite Apigee auf.

   Zu „Apigee“

2. Wählen Sie Ihr Projekt in der Google Cloud Console-Drop-down-Liste aus, falls es noch nicht ausgewählt ist.
3. Klicken Sie auf der Seite Willkommen bei Apigee API Management auf Einrichtung anpassen.
4. APIs aktivieren: Aktivieren Sie die erforderlichen APIs wie in Schritt 1: Erforderliche APIs aktivieren beschrieben.
5. Netzwerk einrichten: Richten Sie das Netzwerk wie in Schritt 2: Netzwerk einrichten beschrieben ein.

6. Hosting und Verschlüsselung konfigurieren:

   Nutzerpfad D: Kundenverwaltete Verschlüsselung, mit Datenstandort ist der einzige relevante Nutzerpfad für Einschränkungen von Organisationsrichtlinien, die Nicht-CMEK-Dienste einschränken.

   1. Klicken Sie auf edit Bearbeiten, um den Bereich Hosting- und Verschlüsselungsschlüssel zu öffnen.
   2. Im Abschnitt Verschlüsselungstyp ist Von Google verwalteter Verschlüsselungsschlüssel deaktiviert und Vom Kunden verwalteter Verschlüsselungsschlüssel aktiviert und kann nicht deaktiviert werden.
   3. Klicken Sie auf Weiter.
   4. Im Abschnitt Steuerungsebene ist Datenstandort aktivieren aktiviert und kann nicht deaktiviert werden.
   5. Fahren Sie mit der Konfiguration von Hosting und Verschlüsselung fort, wie in Schritt 3b von Nutzerpfad D: Kundenverwaltete Verschlüsselung, mit Datenstandort beschrieben.
7. Zugriffsrouting anpassen: Passen Sie das Zugriffsrouting wie in Schritt 4: Zugriffsrouting anpassen beschrieben an.

Schlüssel aus einem Projekt auf der Zulassungsliste verwenden

Wenn Sie einen Schlüssel aus einem Projekt verwenden möchten, das in Apigee auf der Zulassungsliste steht, müssen Sie einen Schlüssel manuell über seine Ressourcen-ID eingeben. Jeder Schlüssel, den Sie manuell eingeben, wird ebenfalls validiert, um sicherzustellen, dass das zugehörige Projekt anhand der zugelassenen Projekte in der Einschränkung gültig ist.

Google Cloud KMS-Ressourcen-ID abrufen

Siehe: Cloud KMS-Ressourcen-ID abrufen

Fehlerbehebung

In der folgenden Tabelle werden einige gängige Fehlerbedingungen beschrieben, die bei CMEK und Einschränkungen für Organisationsrichtlinien auftreten können.

Fehlermeldung	Ursache	Erforderliche Schritte
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project.	Sie haben versucht, eine Testorganisation bereitzustellen, für die eine Organisationsrichtlinien-Einschränkung für das Projekt gilt.	CMEK wird für Test-/Evaluierungsorganisationen nicht unterstützt. Sie müssen die Einschränkung für Organisationsrichtlinien constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, damit Sie eine Testorganisation bereitstellen können.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project.	Sie haben versucht, eine globale Organisation bereitzustellen, für die eine Organisationsrichtlinien-Einschränkung für das Projekt gilt.	CMEK wird für globale Organisationen nicht unterstützt. Sie müssen die Einschränkung für die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, oder einen anderen Standort verwenden, um die Organisationen zu erstellen.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource.	Sie haben versucht, eine Organisation zu bereitzustellen, für die eine Organisationsrichtlinien-Einschränkung für das Projekt gilt, ohne einen KMS-CryptoKey anzugeben.	Sie haben in Organisationsrichtlinien Code festgelegt, der erfordert, dass Sie einen CMEK zum Verschlüsseln Ihrer Daten angeben. Sie müssen den CMEK-Schlüssel angeben, um eine Organisation oder Instanzen erstellen zu können. Wenn Sie die CMEK-Erzwingung nicht wünschen, können Sie die Einschränkung für die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint.	Sie haben versucht, eine Organisation zu bereitzustellen, für die eine Organisationsrichtlinieneinschränkung für das Projekt gilt, und einen KMS-CryptoKey angegeben, der nicht auf der Zulassungsliste steht.	Sie haben constraints/gcp.restrictCmekCryptoKeyProjects in Organisationsrichtlinien festgelegt, die erfordern, dass Sie einen CMEK-Schlüssel aus den von Ihnen angegebenen zulässigen Projekten angeben. Sie müssen den CMEK-Schlüssel aus einem zulässigen Projekt angeben, um eine Organisation oder Instanzen erstellen zu können. Alternativ können Sie die Einschränkung der Organisationsrichtlinie constraints/gcp.restrictCmekCryptoKeyProjects aktualisieren, um Schlüssel aus dem gewünschten Google Cloud Projekt zuzulassen.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint.	Sie haben versucht, ein Portal zu erstellen, für das eine Organisationsrichtlinien-Einschränkung für das Projekt gilt.	CMEK wird für integrierte Portale nicht unterstützt. Sie müssen die Einschränkung für die Organisationsrichtlinie constraints/gcp.restrictNonCmekServices aktualisieren, um Apigee aus der Liste der abgelehnten Dienste zu entfernen, damit Sie ein neues Portal erstellen können.