Establece la política de Key Access Justifications predeterminada

En esta página, se muestra cómo configurar políticas de Key Access Justifications predeterminadas para Assured Workloads. Puedes establecer una política de Key Access Justifications predeterminada para una organización, una carpeta o un proyecto. La política de Key Access Justifications predeterminada se aplica automáticamente a las claves nuevas que se crean en ese recurso, a menos que se establezca una política de Key Access Justifications en la clave cuando se crea. Las políticas de Key Access Justifications predeterminadas no se aplican a las claves existentes.

Antes de comenzar

  • Solo puedes establecer políticas de Key Access Justifications predeterminadas para las claves de Cloud KMS en carpetas inscritas en el paquete de control de regiones de Japón en Assured Workloads.

Permisos de IAM obligatorios

Para obtener los permisos que necesitas para crear y administrar políticas de Key Access Justifications predeterminadas, pídele a tu administrador que te otorgue el rol de IAM Administrador de configuración de políticas de Key Access Justifications (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) en la organización, la carpeta o el proyecto que contiene la clave. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para crear y administrar políticas de Key Access Justifications predeterminadas. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear y administrar políticas de Key Access Justifications predeterminadas:

  • cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

También puedes obtener estos permisos con roles personalizados o otros roles predefinidos.

Establece o cambia una política de Key Access Justifications predeterminada

Console

  1. En la Google Cloud consola de, ve a la página Administración de claves.

    Ir a Administración de claves

  2. Haz clic en Controles de KMS y, luego, en Key Access Justifications (KAJ).

  3. Haz clic en Editar.

  4. Selecciona Establecer política de Key Access Justifications y, luego, selecciona Permitir códigos de motivo específicos.

  5. En Motivos de justificación, selecciona Acceso iniciado por el cliente, Operación del sistema iniciada por Google y cualquier otro código de motivo que desees permitir. Tanto el Acceso iniciado por el cliente como la Operación del sistema iniciada por Google son esenciales para el funcionamiento normal.

  6. Haz clic en Crear.

gcloud

Establece la política predeterminada en una organización

Crea o actualiza una política de Key Access Justifications predeterminada en una carpeta con el comando kms kaj-config update y la marca --organization:

gcloud beta kms kaj-config update
    --organization=ORGANIZATION_NUMBER
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Reemplaza lo siguiente:

  • ORGANIZATION_NUMBER: Es el número de la organización para la que deseas establecer la política de Key Access Justifications predeterminada.
  • ALLOWED_ACCESS_REASONS: Es la política de Key Access Justifications que enumera los motivos de acceso permitidos, con el formato de una lista separada por comas, por ejemplo, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

Establece la política predeterminada en una carpeta

Crea o actualiza una política de Key Access Justifications predeterminada en una carpeta con el comando kms kaj-config update y la marca --folder:

gcloud beta kms kaj-config update
    --folder=FOLDER_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Reemplaza lo siguiente:

  • FOLDER_ID: Es el ID de la carpeta para la que deseas establecer la política de Key Access Justifications predeterminada.
  • ALLOWED_ACCESS_REASONS: Es la política de Key Access Justifications que enumera los motivos de acceso permitidos, con el formato de una lista separada por comas, por ejemplo, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

Establece la política predeterminada en un proyecto

Crea o actualiza una política de Key Access Justifications predeterminada en un proyecto con el comando kms kaj-config update y la marca --project:

gcloud beta kms kaj-config update
    --project=PROJECT_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto para el que deseas establecer la política de Key Access Justifications predeterminada.
  • ALLOWED_ACCESS_REASONS: Es la política de Key Access Justifications que enumera los motivos de acceso permitidos, con el formato de una lista separada por comas, por ejemplo, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

REST

Establece la política predeterminada en una organización

Crea o actualiza una política de Key Access Justifications predeterminada en una organización con el organizations.updateKeyAccessJustificationsPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Reemplaza lo siguiente:

  • ORGANIZATION_ID: Es el ID de la organización para la que deseas establecer la política de Key Access Justifications predeterminada.
  • POLICY: Es la política de Key Access Justifications que enumera los allowedAccessReasons permitidos, con el formato de un objeto JSON, por ejemplo, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

Establece la política predeterminada en una carpeta

Crea o actualiza una política de Key Access Justifications predeterminada en una carpeta con el folders.updateKeyAccessJustificationsPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Reemplaza lo siguiente:

  • FOLDER_ID: Es el ID de la carpeta para la que deseas establecer la política de Key Access Justifications predeterminada.
  • POLICY: Es la política de Key Access Justifications que enumera los allowedAccessReasons permitidos, con el formato de un objeto JSON, por ejemplo, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

Establece la política predeterminada en un proyecto

Crea o actualiza una política de Key Access Justifications predeterminada en un proyecto con el projects.updateKeyAccessJustificationsPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto para el que deseas establecer la política de Key Access Justifications predeterminada.
  • POLICY: Es la política de Key Access Justifications que enumera los allowedAccessReasons permitidos, con el formato de un objeto JSON, por ejemplo, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.

Visualiza una política de Key Access Justifications predeterminada

Console

  1. En la Google Cloud consola de, ve a la página Administración de claves.

    Ir a Administración de claves

  2. Haz clic en Controles de KMS y, luego, en Key Access Justifications (KAJ). Se muestra la política predeterminada para la organización, la carpeta o el proyecto seleccionados.

gcloud

Visualiza la política predeterminada en una organización

Para ver la política predeterminada establecida en una organización, ejecuta el kms kaj-config describe comando con la --organization marca:

gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER

Reemplaza ORGANIZATION_NUMBER por el número de la organización.

La respuesta es similar al ejemplo a continuación:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig

Visualiza la política predeterminada en una carpeta

Para ver la política predeterminada establecida en una carpeta, ejecuta el kms kaj-config describe comando con la --folder marca:

gcloud beta kms kaj-config describe --folder=FOLDER_ID

Reemplaza FOLDER_ID por el ID de la carpeta.

La respuesta es similar al ejemplo a continuación:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig

Visualiza la política predeterminada en un proyecto

Para ver la política predeterminada establecida en un proyecto, ejecuta el kms kaj-config describe comando con la marca --project:

gcloud beta kms kaj-config describe --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID del proyecto.

La respuesta es similar al ejemplo a continuación:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig

Este comando muestra la política predeterminada establecida en el proyecto, si existe. Si no se establece una política predeterminada en el proyecto, este comando no muestra ninguna política, incluso si el proyecto hereda una política predeterminada de una organización o carpeta superior. Para ver la política predeterminada vigente en un proyecto, consulta Visualiza la política de Key Access Justifications predeterminada vigente en un proyecto en esta página.

REST

Obtén metadatos sobre la política de Key Access Justifications predeterminada existente en una organización con el organizations.getKajPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Reemplaza ORGANIZATION_ID por el ID de la organización para la que deseas obtener la política de Key Access Justifications predeterminada.

La respuesta es similar al ejemplo a continuación:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Obtén metadatos sobre la política de Key Access Justifications predeterminada existente en una carpeta con el folders.getKajPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Reemplaza FOLDER_ID por el ID de la carpeta para la que deseas obtener la política de Key Access Justifications predeterminada.

La respuesta es similar al ejemplo a continuación:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Obtén metadatos sobre la política de Key Access Justifications predeterminada existente en un proyecto con el projects.getKajPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Reemplaza PROJECT_ID por el ID del proyecto para el que deseas obtener la política de Key Access Justifications predeterminada.

La respuesta es similar al ejemplo a continuación:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Visualiza la política de Key Access Justifications predeterminada vigente en un proyecto

Los proyectos heredan la política predeterminada de su organización o carpeta superior más cercana. Si hay varias políticas predeterminadas establecidas en los ancestros de un solo proyecto, puedes obtener la política vigente para el proyecto y ver la política que se aplica a las claves de Cloud KMS nuevas creadas en ese proyecto.

En la Google Cloud consola de, se muestra la política de Key Access Justifications predeterminada vigente en un proyecto mientras creas una clave en el proyecto. Durante la creación de la clave, eliges si deseas heredar la política predeterminada vigente o crear una clave y una política nuevas.

gcloud

Para ver los metadatos sobre la política de Key Access Justifications predeterminada vigente en un proyecto, llama al projects.showEffectiveKeyAccessJustificationsPolicyConfig método:

gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID del proyecto para el que deseas obtener la política de Key Access Justifications predeterminada vigente.

La respuesta es similar al ejemplo a continuación:

effectiveKajPolicy:
  defaultKeyAccessJustificationPolicy:
    defaultPolicyAvailable: true
    allowedAccessReasons:
    - CUSTOMER_INITIATED_ACCESS
    - GOOGLE_INITIATED_SYSTEM_OPERATION
  name: folders/FOLDER_ID/kajPolicyConfig

REST

Para ver los metadatos sobre la política de Key Access Justifications predeterminada vigente en un proyecto, llama al projects.showEffectiveKeyAccessJustificationsPolicyConfig método:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Reemplaza PROJECT_ID por el ID del proyecto para el que deseas obtener la política de Key Access Justifications predeterminada vigente.

La respuesta es similar al ejemplo a continuación:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "defaultPolicyAvailable": true,
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

¿Qué sigue?