Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menetapkan kebijakan Key Access Justifications default

Halaman ini menunjukkan cara mengonfigurasi kebijakan Key Access Justifications default untuk Assured Workloads. Anda dapat menetapkan kebijakan Key Access Justifications default untuk organisasi, folder, atau project. Kebijakan Key Access Justifications default akan otomatis diterapkan ke kunci baru yang dibuat dalam resource tersebut, kecuali jika kebijakan Key Access Justifications ditetapkan pada kunci saat kunci dibuat. Kebijakan Key Access Justifications default tidak diterapkan ke kunci yang sudah ada.

Sebelum memulai

Kemampuan untuk menetapkan kebijakan Key Access Justifications default untuk kunci Cloud KMS hanya tersedia untuk paket kontrol Japan Regions di Assured Workloads.

Izin IAM yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk membuat dan mengelola kebijakan Key Access Justifications default, minta administrator untuk memberi Anda peran IAM Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) di organisasi, folder, atau project yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kebijakan Key Access Justifications default. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kebijakan Key Access Justifications default:

cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Menetapkan kebijakan Key Access Justifications default

REST

Buat atau perbarui kebijakan Key Access Justifications default di organisasi menggunakan organizations.updateKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

ORGANIZATION_ID: ID organisasi yang ingin Anda tetapkan kebijakan Key Access Justifications defaultnya.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar alasan justifikasi yang mungkin, lihat kode justifikasi.

Buat atau perbarui kebijakan Key Access Justifications default di folder menggunakan folders.updateKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

FOLDER_ID: ID folder yang ingin Anda tetapkan kebijakan Key Access Justifications defaultnya.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar alasan justifikasi yang mungkin, lihat kode justifikasi.

Buat atau perbarui kebijakan Key Access Justifications default di project menggunakan projects.updateKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

PROJECT_ID: ID project yang ingin Anda tetapkan kebijakan Key Access Justifications defaultnya.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar alasan justifikasi yang mungkin, lihat kode justifikasi.

Mendapatkan kebijakan Key Access Justifications default

REST

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di an organisasi menggunakan the organizations.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Ganti ORGANIZATION_ID dengan ID organisasi yang ingin Anda dapatkan kebijakan Key Access Justifications defaultnya.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di folder menggunakan folders.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Ganti FOLDER_ID dengan ID folder yang ingin Anda dapatkan kebijakan Key Access Justifications defaultnya.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di project menggunakan projects.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications defaultnya.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Mendapatkan kebijakan Key Access Justifications default yang efektif di project

Project mewarisi kebijakan default dari ancestor terdekatnya. Jika ada beberapa kebijakan default yang ditetapkan pada ancestor dari satu project, Anda bisa mendapatkan kebijakan efektif untuk project tersebut guna melihat kebijakan yang diterapkan ke kunci Cloud KMS baru yang dibuat di project tersebut.

REST

Dapatkan metadata tentang kebijakan Key Access Justifications default yang efektif di project menggunakan projects.showEffectiveKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications default yang efektifnya.

Responsnya mirip dengan hal berikut ini:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

Langkah berikutnya

Anda juga dapat menetapkan kebijakan Key Access Justifications pada setiap kunci.