שימוש באילוצים של מדיניות הארגון ב-Apigee

בדף הזה מוסבר איך להשתמש ב אילוצים של מדיניות הארגון עם Apigee.

לא כל התכונות ב-Apigee משתמשות ב-CMEK להצפנה של נתונים רגישים. כדי לוודא שנתונים שנדרשת הצפנה שלהם באמצעות CMEK לא משתמשים בלי ידיעתכם בתכונות שלא מוגנות באמצעות CMEK, התכונות האלה מושבתות בפרויקטים עם הגבלות CMEK עד שהם יעמדו בדרישות. רק שימושים חדשים בתכונות יושבתו (יצירת משאבים חדשים או הפעלת תוסף). תכונות ומשאבים שכבר נמצאים בשימוש יישארו זמינים וניתנים לעריכה, אבל לא יהיו מוגנים.

היצירה של ארגוני הערכה נחסמת על ידי ה-API של gcloud alpha apigee organizations וגם על ידי אשף הקצאת ההרשאות להערכה. כשמנסים להציג את אשף הקצאת ההרשאות של תקופת הניסיון, מוצגת ההודעה: הערכת Apigee לא זמינה.

מידע נוסף על התכונות שמושבתות בפרויקטים עם אילוצים של CMEK זמין במאמר בנושא אילוצים של מדיניות הארגון.

תנאים

בנושא הזה נעשה שימוש במונחים הבאים:

מונח הגדרה
CMEK מפתח הצפנה בניהול הלקוח. מידע מפורט מופיע במאמר בנושא מפתחות הצפנה בניהול הלקוח.
אילוצים של מדיניות הארגון אילוץ הוא סוג מסוים של הגבלה על שירות Google Cloud או על רשימה של שירותים Google Cloud. בנוגע ל-CMEK, יש שני אילוצים רלוונטיים:
  • constraints/gcp.restrictNonCmekServices
  • constraints/gcp.restrictCmekCryptoKeyProjects
אכיפה התחייבות לכך שמערכות ה-Backend של Apigee יפעלו בהתאם לאילוץ של פרויקט (במקרה הזה, אילוצי CMEK)
אימות מראש התנהגויות של ממשק המשתמש שמנחות אתכם בבחירת הגדרות תקינות ב-Apigee בהתאם למדיניות הארגון בנושא CMEK, ולא חושפות תכונות שלא עומדות בדרישות
משאבים משאבי Apigee כמו ארגונים ו מופעים

איך מגבילים שירותים שלא תומכים בהצפנה באמצעות מפתח משלהם (CMEK)

בקטע הזה מוסבר איך להגביל שירותים שאינם CMEK.

  1. עמידה בדרישות המוקדמות.
  2. בוחרים את הפרויקט במסוף Google Cloud .
  3. יצירת אילוץ חדש של מדיניות הארגון.
  4. הקצאת הרשאות ל-Apigee.

דרישות מוקדמות

עליך:

פתיחת הפרויקט

  1. נכנסים לדף Dashboard במסוף Google Cloud .

    אל לוח הבקרה

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud

יצירת אילוץ של מדיניות הארגון

כללי מדיניות הארגון מוגדרים לפי הערכים שמוגדרים לכל מגבלה. הן מוגדרות ברמה של המשאב הזה, עוברות בירושה מהמשאב ברמה העליונה או מוגדרות להתנהגות ברירת המחדל שמנוהלת על ידי Google. במקרה כזה, תיצרו אילוץ שמחייב שימוש ב-CMEK ויחול על הפרויקט ועל כל המשאבים שמוגדרים בפרויקט.

כדי לוודא שמפתחות הצפנה בניהול הלקוח תמיד ישמשו להצפנת הנתונים ב-Apigee, צריך ליצור את ההגבלה הבאה במדיניות הארגון:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר אל מדיניות הארגון

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בתיבה Filter (מסנן), מזינים: 
    constraints/gcp.restrictNonCmekServices
  4. לוחצים על אפשרויות נוספות, עריכת המדיניות. אם האפשרות עריכה מושבתת, סימן שאין לכם את ההרשאות הנדרשות ואתם צריכים לבקש מהאדמין להקצות לכם את תפקיד ה-IAM‏ Organization policy administrator‏ (roles/orgpolicy.policyAdmin) בארגון. מידע נוסף זמין במאמר דרישות מוקדמות.
  5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי. למשאב הזה תהיה מדיניות משלו. בשלב הבא תצטרכו לציין איך לטפל בכללי המדיניות של החשבון הראשי.
  6. בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מהאפשרויות הבאות:
    • החלפה. אם בוחרים באפשרות הזו, המערכת מתעלמת מהמדיניות של המשאב הראשי ומשתמשת בכללים האלה.
    • מיזוג עם ההורה. האפשרות הזו מוסיפה כללים בנוסף לאלה שהוגדרו במשאב ההורה.

    הסבר על ירושה של מדיניות הארגון מופיע במאמר הסבר על הערכת ההיררכיה.

  7. לוחצים על Add a rule.
  8. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.
  9. בקטע סוג המדיניות, בוחרים באפשרות דחייה.
  10. בשדה ערכים מותאמים אישית, מזינים: 
    apigee.googleapis.com
  11. לוחצים על סיום.
  12. לוחצים על הגדרת מדיניות. יוצג הדף פרטי מדיניות.

אחרי שמגדירים את המדיניות ובוחרים פרויקט שמקבל בירושה את המדיניות או משתמש בה, אפשר להקצות את Apigee. שימו לב: לא מובטח שמשאבי Apigee שנוצרו לפני הגדרת מדיניות הארגון לגבי CMEK יעמדו בדרישות. רק משאבים חדשים שנוצרו אחרי שהמדיניות הופעלה יפעלו בהתאם לאילוצים של CMEK.

מידע נוסף:

הקצאת Apigee

הקצאת Apigee במקומות שבהם יש אילוצים של מדיניות הארגון כוללת את אותם שלבים כמו הקצאת Apigee במקומות שבהם אין אילוצים של מדיניות הארגון. עם זאת, ממשק המשתמש מונע מכם לבחור אפשרויות שלא נתמכות.

בקטע הזה מוסבר איפה בממשק המשתמש יש הנחיות לבחירת אפשרויות.

  1. נכנסים לדף Apigee במסוף Google Cloud .

    מעבר אל Apigee

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בדף Welcome to Apigee API management, האפשרות Setup using defaults מושבתת כי צריך לבחור באופן מפורש מפתחות CMEK. לוחצים על התאמה אישית של ההגדרה.
  4. הפעלת ממשקי API: מפעילים את ממשקי ה-API הנדרשים כמו שמתואר בשלב 1: הפעלת ממשקי ה-API הנדרשים.
  5. הגדרת רשת: מגדירים רשת כמו שמתואר בשלב 2: הגדרת רשת.

  6. הגדרת אירוח והצפנה:

    מסלול המשתמש D: הצפנה בניהול הלקוח, עם מיקום הנתונים הוא מסלול המשתמש הרלוונטי היחיד למגבלות של מדיניות הארגון שמגבילות שירותים שאינם CMEK.

    1. לוחצים על עריכה כדי לפתוח את החלונית אירוח ומפתחות הצפנה.
    2. בקטע Encryption type (סוג ההצפנה), האפשרות Google-managed encryption key (מפתח הצפנה בניהול Google) מושבתת והאפשרות Customer-managed encryption key (מפתח הצפנה בניהול הלקוח) מופעלת ואי אפשר להשבית אותה.
    3. לוחצים על הבא.
    4. בקטע Control Plane, האפשרות Enable data residency מופעלת ואי אפשר להשבית אותה.
    5. ממשיכים להגדיר את האירוח וההצפנה כמו שמתואר בשלב 3.ב. של מסלול המשתמש D: הצפנה בניהול הלקוח, עם מיקום נתונים.
  7. התאמה אישית של ניתוב הגישה: התאמה אישית של ניתוב הגישה כמו שמתואר ב שלב 4: התאמה אישית של ניתוב הגישה.

איך מגבילים פרויקטים של מפתחות הצפנה מסוג CMEK

בקטע הזה מוסבר איך להגביל פרויקטים של מפתחות הצפנה מסוג CMEK.

אתם יכולים להגביל את הפרויקטים שיכולים לספק מפתחות הצפנה באמצעות אילוץ נוסף של מדיניות הארגון: constraints/gcp.restrictCmekCryptoKeyProjects בעזרת האילוץ הזה, אתם יכולים ליצור רשימת היתרים של פרויקטים שמהם אפשר להשתמש במפתחות הצפנה.

בכל מקום שבו אפשר לבחור CMEK, שזה כרגע בזמן הקצאת Apigee או יצירת מופע Apigee, האילוץ הזה נאכף.

אם הפרויקט הנוכחי שנבחר במסוף Google Cloud לא נמצא ברשימת ההיתרים של האילוץ restrictCmekCryptoKeyProjects, לא תוכלו לבחור מפתחות מתיבת הבחירה של מפתחות ההצפנה. במקום זאת, תצטרכו להשתמש במפתח מפרויקט שנכלל ברשימת ההיתרים.

דרישות מוקדמות

עליך:

פתיחת הפרויקט

  1. נכנסים לדף Dashboard במסוף Google Cloud .

    אל לוח הבקרה

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud

יצירת אילוץ של מדיניות הארגון

כללי מדיניות הארגון מוגדרים לפי הערכים שמוגדרים לכל מגבלה. הן מוגדרות ברמה של המשאב הזה, עוברות בירושה מהמשאב ברמה העליונה או מוגדרות להתנהגות ברירת המחדל שמנוהלת על ידי Google. במקרה כזה, תיצרו אילוץ שיאפשר שימוש במפתחות רק מפרויקטים שנכללים ברשימת ההיתרים. האילוץ הזה יחול על הפרויקט ועל כל המשאבים שמוגדרים בירושה מהפרויקט.

כדי לוודא שמפתחות הצפנה בניהול הלקוח משמשים רק מפרויקטים ספציפיים, מוסיפים אותם לרשימת ההיתרים:

  1. במסוף Google Cloud , נכנסים לדף מדיניות הארגון.

    מעבר אל מדיניות הארגון

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בתיבה Filter (מסנן), מזינים: 
    restrictCmekCryptoKeyProjects
  4. לוחצים על אפשרויות נוספות, עריכת המדיניות. אם האפשרות עריכה מושבתת, סימן שאין לכם את ההרשאות הנדרשות ואתם צריכים לבקש מהאדמין לתת לכם את תפקיד ה-IAM‏ roles/orgpolicy.policyAdmin‏ Organization policy administrator בארגון. מידע נוסף זמין במאמר תנאים מוקדמים.
  5. בקטע מקור המדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי. למשאב הזה תהיה מדיניות משלו. בשלב הבא תצטרכו לציין איך כללי המדיניות של החשבון הראשי יטופלו.
  6. בקטע Policy enforcement (אכיפת מדיניות), בוחרים באחת מהאפשרויות הבאות:
    • החלפה. אם בוחרים באפשרות הזו, המערכת מתעלמת מהמדיניות של המשאב הראשי ומשתמשת בכללים האלה.
    • מיזוג עם ההורה. האפשרות הזו מוסיפה כללים בנוסף לאלה שהוגדרו במשאב ההורה.

    הסבר על ירושה של מדיניות הארגון מופיע במאמר הסבר על הערכת ההיררכיה.

  7. לוחצים על Add a rule.
  8. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.
  9. בקטע סוג המדיניות, בוחרים באפשרות אישור.
  10. בשדה ערכים מותאמים אישית, מזינים: 
    projects/PROJECT_ID

    מחליפים את PROJECT_ID במזהה הפרויקט שבו נמצאים מפתחות Cloud KMS שרוצים להשתמש בהם. לדוגמה: my-kms-project.

  11. לוחצים על סיום.
  12. לוחצים על הגדרת מדיניות. יוצג הדף פרטי מדיניות.

אחרי שמגדירים את המדיניות ובוחרים פרויקט שמשתמש במדיניות או מקבל אותה בירושה, אפשר להקצות את Apigee. שימו לב: לא מובטח שמשאבי Apigee שנוצרו לפני הגדרת מדיניות הארגון לגבי CMEK יעמדו בדרישות. רק משאבים חדשים שנוצרו אחרי שהמדיניות הופעלה יפעלו בהתאם לאילוצים של CMEK.

מידע נוסף:

הקצאת Apigee

הקצאת Apigee במקומות שבהם יש אילוצים של מדיניות הארגון כוללת את אותם שלבים כמו הקצאת Apigee במקומות שבהם אין אילוצים של מדיניות הארגון. עם זאת, ממשק המשתמש מונע מכם לבחור אפשרויות שלא נתמכות.

בקטע הזה מוסבר איפה בממשק המשתמש יש הנחיות לבחירת אפשרויות.

  1. נכנסים לדף Apigee במסוף Google Cloud .

    מעבר אל Apigee

  2. בוחרים את הפרויקט מהרשימה הנפתחת במסוף, אם הוא עוד לא נבחר. Google Cloud
  3. בדף Welcome to Apigee API management (ברוכים הבאים לניהול Apigee API), לוחצים על Customize your setup (התאמה אישית של ההגדרה).
  4. הפעלת ממשקי API: מפעילים את ממשקי ה-API הנדרשים כמו שמתואר בשלב 1: הפעלת ממשקי ה-API הנדרשים.
  5. הגדרת רשת: מגדירים רשת כמו שמתואר בשלב 2: הגדרת רשת.

  6. הגדרת אירוח והצפנה:

    מסלול השימוש ד': הצפנה בניהול הלקוח, עם מיקום הנתונים הוא מסלול השימוש הרלוונטי היחיד למגבלות של מדיניות הארגון שמגבילות שירותים שאינם CMEK.

    1. לוחצים על עריכה כדי לפתוח את החלונית אירוח ומפתחות הצפנה.
    2. בקטע Encryption type (סוג ההצפנה), האפשרות Google-managed encryption key (מפתח הצפנה בניהול Google) מושבתת והאפשרות Customer-managed encryption key (מפתח הצפנה בניהול הלקוח) מופעלת ואי אפשר להשבית אותה.
    3. לוחצים על הבא.
    4. בקטע Control Plane, האפשרות Enable data residency מופעלת ואי אפשר להשבית אותה.
    5. ממשיכים להגדיר את האירוח וההצפנה כמו שמתואר בשלב 3.ב. של מסלול המשתמש D: הצפנה בניהול הלקוח, עם מיקום נתונים.
  7. התאמה אישית של ניתוב הגישה: התאמה אישית של ניתוב הגישה כמו שמתואר ב שלב 4: התאמה אישית של ניתוב הגישה.

שימוש במפתח מפרויקט שנכלל ברשימת ההיתרים

כדי להשתמש במפתח מפרויקט שנמצא ברשימת ההיתרים ב-Apigee, צריך להזין את המפתח באופן ידני לפי מזהה המשאב שלו. כל מפתח שתזינו ידנית ייבדק גם הוא כדי לוודא שהפרויקט שלו תקף בהתאם לפרויקטים שברשימת ההיתרים באילוץ.

איך מקבלים מזהה משאב KMS Google Cloud

ראו: קבלת מזהה משאב של Cloud KMS

פתרון בעיות

בטבלה הבאה מתוארים כמה תנאי שגיאה נפוצים שעשויים להתרחש עם CMEK ומגבלות של מדיניות הארגון.

הודעת השגיאה מטרה השלבים הבאים
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. ניסיתם להקצות ארגון לניסיון שבו קיים אילוץ של מדיניות הארגון בפרויקט. אין תמיכה ב-CMEK בארגונים לניסיון או להערכה. כדי להקצות ארגון לניסיון, צריך לעדכן את אילוץ מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחו.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. ניסית להקצות ארגון גלובלי שבו קיים אילוץ של מדיניות הארגון לפרויקט. אין תמיכה ב-CMEK בארגונים גלובליים. תצטרכו לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחו, או להשתמש במיקום אחר כדי ליצור את הארגונים.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. ניסיתם להקצות ארגון שבו קיים אילוץ של מדיניות הארגון לפרויקט בלי לציין KMS CryptoKey. הגדרתם קוד במדיניות הארגון שמחייב אתכם לספק מפתח CMEK כדי להצפין את הנתונים. תצטרכו לספק את מפתח ה-CMEK כדי ליצור ארגון או מופעים. אם לא רוצים לאכוף את CMEK, אפשר לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictNonCmekServices כדי להסיר את Apigee מרשימת השירותים שנדחו.
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by the gcp.restrictCmekCryptoKeyProjects constraint. ניסיתם להקצות ארגון שבו קיים אילוץ של מדיניות הארגון עבור הפרויקט, וציינתם מפתח KMS CryptoKey שלא נמצא ברשימת ההיתרים. הגדרתם constraints/gcp.restrictCmekCryptoKeyProjects במדיניות הארגון, ולכן אתם צריכים לספק מפתח CMEK מהפרויקטים המותרים שציינתם. כדי ליצור ארגון או מכונות וירטואליות, תצטרכו לספק את מפתח ה-CMEK מפרויקט מורשה. לחלופין, אפשר לעדכן את האילוץ של מדיניות הארגון constraints/gcp.restrictCmekCryptoKeyProjects כדי לאפשר מפתחות מהפרויקט הספציפי Google Cloud שרוצים.
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. ניסיתם ליצור פורטל שבו קיים אילוץ של מדיניות הארגון עבור הפרויקט. אין תמיכה ב-CMEK בפורטלים משולבים. כדי ליצור פורטל חדש, צריך לעדכן את האילוץ constraints/gcp.restrictNonCmekServices במדיניות הארגון כדי להסיר את Apigee מרשימת השירותים שנדחתה.