Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Standardrichtlinie für Key Access Justifications festlegen

Auf dieser Seite erfahren Sie, wie Sie Standardrichtlinien für Key Access Justifications für Assured Workloads konfigurieren. Sie können eine Standardrichtlinie für Key Access Justifications für eine Organisation, einen Ordner oder ein Projekt festlegen. Die Standardrichtlinie für Key Access Justifications wird automatisch auf neue Schlüssel angewendet, die in dieser Ressource erstellt werden, sofern beim Erstellen des Schlüssels keine Richtlinie für Key Access Justifications festgelegt wird. Die Richtlinien für Standard-Key Access Justifications werden nicht auf vorhandene Schlüssel angewendet.

Hinweis

Sie können nur Standardrichtlinien für Key Access Justifications für Cloud KMS-Schlüssel in Ordnern festlegen, die im Kontrollpaket für Regionen in Japan in Assured Workloads registriert sind.

Erforderliche IAM-Berechtigungen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) für die Organisation, den Ordner oder das Projekt zuzuweisen, das den Schlüssel enthält. Damit erhalten Sie die Berechtigungen, die Sie zum Erstellen und Verwalten von Standardrichtlinien für Key Access Justifications benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten von Standardrichtlinien für Key Access Justifications erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um Standardrichtlinien für Key Access Justifications zu erstellen und zu verwalten:

cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Standardrichtlinie für Key Access Justifications festlegen oder ändern

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Zur Schlüsselverwaltung
Klicken Sie auf KMS-Steuerelemente und dann auf Key Access Justifications (KAJ).
Klicken Sie auf Bearbeiten.
Wählen Sie Richtlinie für Key Access Justifications festlegen und dann Bestimmte Ursachencodes zulassen aus.

Warnung :Wenn Sie Alle Ursachencodes ablehnen auswählen, ist der Schlüssel nicht mehr verwendbar.
Wählen Sie unter Begründungen Vom Kunden initiierter Zugriff, Von Google initiierter Systemvorgang und alle anderen Begründungscodes aus, die Sie zulassen möchten. Sowohl Vom Kunden initiierter Zugriff als auch Von Google initiierter Systemvorgang sind für die normale Funktion erforderlich.
Klicken Sie auf Erstellen.

gcloud

Standardrichtlinie für eine Organisation festlegen

Erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für einen Ordner mit dem Befehl kms kaj-config update und dem Flag --organization:

gcloud beta kms kaj-config update
    --organization=ORGANIZATION_NUMBER
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ersetzen Sie Folgendes:

ORGANIZATION_NUMBER: die Nummer der Organisation, für die Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
ALLOWED_ACCESS_REASONS: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer durch Kommas getrennten Liste der zulässigen Zugriffsgründe, z. B. CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

Standardrichtlinie für einen Ordner festlegen

Erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für einen Ordner mit dem Befehl kms kaj-config update und dem Flag --folder:

gcloud beta kms kaj-config update
    --folder=FOLDER_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ersetzen Sie Folgendes:

FOLDER_ID: Die ID des Ordners, für den Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
ALLOWED_ACCESS_REASONS: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer durch Kommas getrennten Liste der zulässigen Zugriffsgründe, z. B. CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

Standardrichtlinie für ein Projekt festlegen

Verwenden Sie den Befehl kms kaj-config update mit dem Flag --project, um eine Standardrichtlinie für Key Access Justifications für ein Projekt zu erstellen oder zu aktualisieren:

gcloud beta kms kaj-config update
    --project=PROJECT_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ersetzen Sie Folgendes:

PROJECT_ID: Die ID des Projekts, für das Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
ALLOWED_ACCESS_REASONS: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer durch Kommas getrennten Liste der zulässigen Zugriffsgründe, z. B. CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

REST

Standardrichtlinie für eine Organisation festlegen

So erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für eine Organisation mit der Methode organizations.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ersetzen Sie Folgendes:

ORGANIZATION_ID: Die ID der Organisation, für die Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
POLICY: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer Liste der zulässigen allowedAccessReasons, formatiert als JSON-Objekt, z. B. {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

Standardrichtlinie für einen Ordner festlegen

So erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für einen Ordner mit der Methode folders.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ersetzen Sie Folgendes:

FOLDER_ID: die ID des Ordners, für den Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
POLICY: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer Liste der zulässigen allowedAccessReasons, formatiert als JSON-Objekt, z. B. {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

Standardrichtlinie für ein Projekt festlegen

So erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für ein Projekt mit der Methode projects.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ersetzen Sie Folgendes:

PROJECT_ID: Die ID des Projekts, für das Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.
POLICY: Die Richtlinie „Key Access Justifications“ (Begründungen für den Schlüsselzugriff) mit einer Liste der zulässigen allowedAccessReasons, formatiert als JSON-Objekt, z. B. {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.

Standardrichtlinie für Key Access Justifications ansehen

Console

Rufen Sie in der Google Cloud Console die Seite Schlüsselverwaltung auf.

Zur Schlüsselverwaltung
Klicken Sie auf KMS-Steuerelemente und dann auf Key Access Justifications (KAJ). Die Standardrichtlinie für die ausgewählte Organisation, den ausgewählten Ordner oder das ausgewählte Projekt wird angezeigt.

gcloud

Standardrichtlinie für eine Organisation ansehen

Führen Sie den Befehl kms kaj-config describe mit dem Flag --organization aus, um die für eine Organisation festgelegte Standardrichtlinie aufzurufen:

gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER

Ersetzen Sie ORGANIZATION_NUMBER durch die Nummer der Organisation.

Das Ergebnis sieht etwa so aus:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig

Standardrichtlinie für einen Ordner ansehen

Führen Sie den Befehl kms kaj-config describe mit dem Flag --folder aus, um die in einem Ordner festgelegte Standardrichtlinie aufzurufen:

gcloud beta kms kaj-config describe --folder=FOLDER_ID

Ersetzen Sie FOLDER_ID durch die ID des Ordners.

Das Ergebnis sieht etwa so aus:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig

Standardrichtlinie für ein Projekt ansehen

Führen Sie den Befehl kms kaj-config describe mit dem Flag --project aus, um die für ein Projekt festgelegte Standardrichtlinie aufzurufen:

gcloud beta kms kaj-config describe --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID des Projekts.

Das Ergebnis sieht etwa so aus:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig

Mit diesem Befehl wird die Standardrichtlinie zurückgegeben, die für das Projekt festgelegt ist, sofern vorhanden. Wenn für das Projekt keine Standardrichtlinie festgelegt ist, wird mit diesem Befehl keine Richtlinie zurückgegeben, auch wenn das Projekt eine Standardrichtlinie von einem übergeordneten Ordner oder einer übergeordneten Organisation übernimmt. Informationen zum Aufrufen der effektiven Standardrichtlinie für ein Projekt finden Sie auf dieser Seite unter Effektive Standardrichtlinie für Key Access Justifications für ein Projekt ansehen.

REST

Rufen Sie Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für eine Organisation mit der Methode organizations.getKajPolicyConfig ab:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation, für die Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.

Das Ergebnis sieht etwa so aus:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Rufen Sie mit der Methode folders.getKajPolicyConfig Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für einen Ordner ab:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Ersetzen Sie FOLDER_ID durch die ID des Ordners, für den Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.

Das Ergebnis sieht etwa so aus:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Rufen Sie Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für ein Projekt mit der Methode projects.getKajPolicyConfig ab:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Ersetzen Sie PROJECT_ID durch die ID des Projekts, für das Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.

Das Ergebnis sieht etwa so aus:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Effektive Standardrichtlinie für Key Access Justifications für ein Projekt ansehen

Projekte übernehmen die Standardrichtlinie vom nächstgelegenen übergeordneten Ordner oder der nächstgelegenen übergeordneten Organisation. Wenn für die übergeordneten Elemente eines einzelnen Projekts mehrere Standardrichtlinien festgelegt sind, können Sie die effektive Richtlinie für das Projekt abrufen, um die Richtlinie zu sehen, die auf neue Cloud KMS-Schlüssel angewendet wird, die in diesem Projekt erstellt werden.

In der Google Cloud -Konsole wird die geltende Standardrichtlinie für Key Access Justifications für ein Projekt angezeigt, während Sie einen Schlüssel im Projekt erstellen. Beim Erstellen eines Schlüssels können Sie auswählen, ob die effektive Standardrichtlinie übernommen werden soll oder ob Sie einen neuen Schlüssel und eine neue Richtlinie erstellen möchten.

gcloud

Rufen Sie die Methode projects.showEffectiveKeyAccessJustificationsPolicyConfig auf, um Metadaten zur effektiven Standardrichtlinie für Key Access Justifications für ein Projekt aufzurufen:

gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID

Ersetzen Sie PROJECT_ID durch die ID des Projekts, für das Sie die effektive Standardrichtlinie für Key Access Justifications abrufen möchten.

Das Ergebnis sieht etwa so aus:

effectiveKajPolicy:
  defaultKeyAccessJustificationPolicy:
    defaultPolicyAvailable: true
    allowedAccessReasons:
    - CUSTOMER_INITIATED_ACCESS
    - GOOGLE_INITIATED_SYSTEM_OPERATION
  name: folders/FOLDER_ID/kajPolicyConfig

REST

Rufen Sie die Methode projects.showEffectiveKeyAccessJustificationsPolicyConfig auf, um Metadaten zur effektiven Standardrichtlinie für Key Access Justifications für ein Projekt aufzurufen:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Ersetzen Sie PROJECT_ID durch die ID des Projekts, für das Sie die effektive Standardrichtlinie für Key Access Justifications abrufen möchten.

Das Ergebnis sieht etwa so aus:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "defaultPolicyAvailable": true,
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

Nächste Schritte

Sie können die Richtlinie für Key Access Justifications auch für einzelne Schlüssel festlegen.