Defina a política de justificações de acesso a chaves predefinida
Esta página mostra como configurar políticas de Justificações de acesso a chaves predefinidas para o Assured Workloads. Pode definir uma política de Justificações de acesso às chaves predefinida para uma organização, uma pasta ou um projeto. A política de Justificações de acesso às chaves predefinida é aplicada automaticamente às novas chaves criadas nesse recurso, a menos que seja definida uma política de Justificações de acesso às chaves na chave quando esta é criada. As políticas de justificações de acesso a chaves predefinidas não são aplicadas às chaves existentes.
Antes de começar
- A capacidade de definir políticas de Justificações de acesso a chaves predefinidas para chaves do Cloud KMS só está disponível para o pacote de controlos das regiões do Japão nos Assured Workloads.
Autorizações de IAM necessárias
Para receber as autorizações de que precisa para criar e gerir políticas de Justificações de acesso às chaves predefinidas,
peça ao seu administrador para lhe conceder a função de IAM
Administrador da configuração da política de Justificações de acesso às chaves (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin)
na organização, na pasta ou no projeto que contém a chave.
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém as autorizações necessárias para criar e gerir políticas de Justificações de acesso a chaves predefinidas. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
São necessárias as seguintes autorizações para criar e gerir políticas de Justificações de acesso às chaves predefinidas:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.
Defina uma política de Justificações de acesso a chaves predefinida
REST
Crie ou atualize uma política de Justificações de acesso às chaves predefinida numa organização
através do método
organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
ORGANIZATION_ID: o ID da organização para a qual quer definir a política de justificações de acesso a chaves predefinida.POLICY: a política de justificações de acesso à chave que lista os motivos permitidosallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Crie ou atualize uma política de justificação de acesso a chaves predefinida numa pasta através do método
folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
FOLDER_ID: o ID da pasta para a qual quer definir a política de justificações de acesso a chaves predefinida.POLICY: a política de justificações de acesso à chave que lista os motivos permitidosallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Crie ou atualize uma política de justificação de acesso com chave predefinida num projeto através do método
projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua o seguinte:
PROJECT_ID: o ID do projeto para o qual quer definir a política de Justificações de acesso a chaves predefinida.POLICY: a política de justificações de acesso à chave que lista os motivos permitidosallowedAccessReasons, formatada como um objeto JSON, por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver uma lista dos possíveis motivos de justificação, consulte os códigos de justificação.
Obtenha uma política de Justificações de acesso a chaves predefinida
REST
Obtenha metadados sobre a política de Justificações de acesso a chaves predefinida existente numa organização através do método organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Substitua ORGANIZATION_ID pelo ID da organização para a qual quer obter a política de Justificações de acesso às chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha metadados sobre a política de justificações de acesso a chaves predefinida existente numa pasta através do método folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Substitua FOLDER_ID pelo ID da pasta para a qual quer obter a política de Justificações de acesso a chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha metadados sobre a política de Justificações de acesso à chave predefinida existente num projeto através do método projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual quer obter a política de Justificações de acesso às chaves predefinida.
A resposta é semelhante à seguinte:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtenha a política de justificações de acesso a chaves predefinida em vigor num projeto
Os projetos herdam a política predefinida do seu antepassado mais próximo. Se existirem várias políticas predefinidas definidas em antecessores de um único projeto, pode obter a política efetiva para o projeto para ver a política que é aplicada às novas chaves do Cloud KMS criadas nesse projeto.
REST
Obtenha metadados sobre a política de Justificações de acesso a chaves predefinida eficaz num projeto através do método projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual quer obter a política de Justificações de acesso a chaves predefinida eficaz.
A resposta é semelhante à seguinte:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}