Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Menetapkan kebijakan Key Access Justifications default

Halaman ini menunjukkan cara mengonfigurasi kebijakan Key Access Justifications default untuk Assured Workloads. Anda dapat menetapkan kebijakan Key Access Justifications default untuk organisasi, folder, atau project. Kebijakan Key Access Justifications default akan otomatis diterapkan ke kunci baru yang dibuat dalam resource tersebut, kecuali jika kebijakan Key Access Justifications ditetapkan pada kunci saat kunci dibuat. Kebijakan Key Access Justifications default tidak diterapkan ke kunci yang sudah ada.

Sebelum memulai

Anda hanya dapat menetapkan kebijakan Key Access Justifications default untuk kunci Cloud KMS di folder yang terdaftar dalam paket kontrol Japan Regions di Assured Workloads.

Izin IAM yang diperlukan

Untuk mendapatkan izin yang Anda perlukan untuk membuat dan mengelola kebijakan Key Access Justifications default, minta administrator untuk memberi Anda peran IAM Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) di organisasi, folder, atau project yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kebijakan Key Access Justifications default. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kebijakan Key Access Justifications default:

cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Menetapkan atau mengubah kebijakan Key Access Justifications default

Konsol

Di Google Cloud konsol, buka halaman Key management.

Buka Key management
Klik KMS Controls , lalu klik Key Access Justifications (KAJ).
Klik Edit.
Pilih Set Key Access Justifications policy, lalu pilih Allow specific reason codes.

Peringatan: Jika Anda memilih Deny all reason codes, kunci tidak akan dapat digunakan.
Untuk Justification reasons, pilih Customer-initiated access, Google-initiated system operation, dan kode alasan lain yang ingin Anda izinkan. Baik Customer-initiated access maupun Google-initiated system operation sangat penting untuk fungsi normal.
Klik Create.

gcloud

Menetapkan kebijakan default di organisasi

Buat atau perbarui kebijakan Key Access Justifications default di folder menggunakan perintah kms kaj-config update dengan tanda --organization:

gcloud beta kms kaj-config update
    --organization=ORGANIZATION_NUMBER
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ganti kode berikut:

ORGANIZATION_NUMBER: nomor organisasi yang ingin Anda tetapkan kebijakan Key Access Justifications default.
ALLOWED_ACCESS_REASONS: kebijakan Key Access Justifications yang mencantumkan alasan akses yang diizinkan, diformat sebagai daftar yang dipisahkan koma—misalnya, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

Menetapkan kebijakan default di folder

Buat atau perbarui kebijakan Key Access Justifications default di folder menggunakan perintah kms kaj-config update dengan tanda --folder:

gcloud beta kms kaj-config update
    --folder=FOLDER_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ganti kode berikut:

FOLDER_ID: ID folder yang ingin Anda tetapkan kebijakan Key Access Justifications default.
ALLOWED_ACCESS_REASONS: kebijakan Key Access Justifications yang mencantumkan alasan akses yang diizinkan, diformat sebagai daftar yang dipisahkan koma—misalnya, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

Menetapkan kebijakan default di project

Buat atau perbarui kebijakan Key Access Justifications default di project menggunakan perintah kms kaj-config update dengan tanda --project:

gcloud beta kms kaj-config update
    --project=PROJECT_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Ganti kode berikut:

PROJECT_ID: ID project yang ingin Anda tetapkan kebijakan Key Access Justifications default.
ALLOWED_ACCESS_REASONS: kebijakan Key Access Justifications yang mencantumkan alasan akses yang diizinkan, diformat sebagai daftar yang dipisahkan koma—misalnya, CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

REST

Menetapkan kebijakan default di organisasi

Buat atau perbarui kebijakan Key Access Justifications default di organisasi menggunakan organizations.updateKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

ORGANIZATION_ID: ID organisasi yang ingin Anda tetapkan kebijakan Key Access Justifications default.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

Menetapkan kebijakan default di folder

Buat atau perbarui kebijakan Key Access Justifications default di folder menggunakan metode:folders.updateKeyAccessJustificationsPolicyConfig

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

FOLDER_ID: ID folder yang ingin Anda tetapkan kebijakan Key Access Justifications default.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

Menetapkan kebijakan default di project

Buat atau perbarui kebijakan Key Access Justifications default di project menggunakan projects.updateKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

PROJECT_ID: ID project yang ingin Anda tetapkan kebijakan Key Access Justifications default.
POLICY: kebijakan Key Access Justifications yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan justifikasi, lihat kode justifikasi.

Melihat kebijakan Key Access Justifications default

Konsol

Di Google Cloud konsol, buka halaman Key management.

Buka Key management
Klik KMS Controls , lalu klik Key Access Justifications (KAJ). Kebijakan default untuk organisasi, folder, atau project yang dipilih akan ditampilkan.

gcloud

Melihat kebijakan default di organisasi

Untuk melihat kebijakan default yang ditetapkan di organisasi, jalankan perintah kms kaj-config describe dengan tanda --organization:

gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER

Ganti ORGANIZATION_NUMBER dengan nomor organisasi.

Responsnya mirip dengan hal berikut ini:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig

Melihat kebijakan default di folder

Untuk melihat kebijakan default yang ditetapkan di folder, jalankan perintah kms kaj-config describe dengan tanda --folder:

gcloud beta kms kaj-config describe --folder=FOLDER_ID

Ganti FOLDER_ID dengan ID folder.

Responsnya mirip dengan hal berikut ini:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig

Melihat kebijakan default di project

Untuk melihat kebijakan default yang ditetapkan di project, jalankan perintah kms kaj-config describe dengan tanda --project:

gcloud beta kms kaj-config describe --project=PROJECT_ID

Ganti PROJECT_ID dengan ID project.

Responsnya mirip dengan hal berikut ini:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig

Perintah ini menampilkan kebijakan default yang ditetapkan di project jika ada. Jika tidak ada kebijakan default yang ditetapkan di project, perintah ini tidak akan menampilkan kebijakan apa pun, meskipun project mewarisi kebijakan default dari folder atau organisasi induk. Untuk melihat kebijakan default efektif di project, lihat Melihat kebijakan Key Access Justifications default efektif di project di halaman ini.

REST

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di an organisasi menggunakan the organizations.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Ganti ORGANIZATION_ID dengan ID organisasi yang ingin Anda dapatkan kebijakan Key Access Justifications default.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di folder menggunakan folders.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Ganti FOLDER_ID dengan ID folder yang ingin Anda dapatkan kebijakan Key Access Justifications default.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di project menggunakan projects.getKajPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications default.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Melihat kebijakan Key Access Justifications default efektif di project

Project mewarisi kebijakan default dari folder atau organisasi induk terdekat. Jika ada beberapa kebijakan default yang ditetapkan pada ancestor dari satu project, Anda bisa mendapatkan kebijakan efektif untuk project tersebut guna melihat kebijakan yang diterapkan ke kunci Cloud KMS baru yang dibuat di project tersebut.

Di Google Cloud konsol, kebijakan Key Access Justifications default efektif di project akan ditampilkan saat Anda membuat kunci di project. Selama pembuatan kunci, Anda memilih apakah akan mewarisi kebijakan default efektif atau membuat kunci dan kebijakan baru.

gcloud

Untuk melihat metadata tentang kebijakan Key Access Justifications default efektif di project, panggil projects.showEffectiveKeyAccessJustificationsPolicyConfig metode:

gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications default efektif.

Responsnya mirip dengan hal berikut ini:

effectiveKajPolicy:
  defaultKeyAccessJustificationPolicy:
    defaultPolicyAvailable: true
    allowedAccessReasons:
    - CUSTOMER_INITIATED_ACCESS
    - GOOGLE_INITIATED_SYSTEM_OPERATION
  name: folders/FOLDER_ID/kajPolicyConfig

REST

Untuk melihat metadata tentang kebijakan Key Access Justifications default efektif di project, panggil projects.showEffectiveKeyAccessJustificationsPolicyConfig metode:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications default efektif.

Responsnya mirip dengan hal berikut ini:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "defaultPolicyAvailable": true,
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

Langkah berikutnya

Anda juga dapat menetapkan kebijakan Key Access Justifications pada setiap kunci.