Impostare la policy Key Access Justifications predefinita
Questa pagina mostra come configurare le policy Key Access Justifications predefinite per Assured Workloads. Puoi impostare una policy Key Access Justifications predefinita per un'organizzazione, una cartella o un progetto. La policy Key Access Justifications predefinita viene applicata automaticamente alle nuove chiavi create all'interno di questa risorsa, a meno che non venga impostata una policy Key Access Justifications sulla chiave al momento della creazione. Le policy Key Access Justifications predefinite non vengono applicate alle chiavi esistenti.
Prima di iniziare
- La possibilità di impostare policy Key Access Justifications predefinite per le chiavi Cloud KMS è disponibile solo per il pacchetto di controlli delle regioni del Giappone in Assured Workloads.
Autorizzazioni IAM obbligatorie
Per ottenere le autorizzazioni necessarie per creare e gestire le policy Key Access Justifications predefinite, chiedi all'amministratore di concederti il ruolo IAM Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) nell'organizzazione, nella cartella o nel progetto che contiene la chiave.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire le policy Key Access Justifications predefinite. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare e gestire le policy Key Access Justifications predefinite sono necessarie le seguenti autorizzazioni:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Impostare una policy Key Access Justifications predefinita
REST
Crea o aggiorna una policy Key Access Justifications predefinita in un'organizzazione
utilizzando il
organizations.updateKeyAccessJustificationsPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID dell'organizzazione per cui vuoi impostare la policy Key Access Justifications predefinita.POLICY: la policy Key Access Justifications che elenca iallowedAccessReasonsconsentiti, formattata come oggetto JSON, ad esempio{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.
Crea o aggiorna una policy Key Access Justifications predefinita in una cartella utilizzando il
folders.updateKeyAccessJustificationsPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
FOLDER_ID: l'ID della cartella per cui vuoi impostare la policy Key Access Justifications predefinita.POLICY: la policy Key Access Justifications che elenca iallowedAccessReasonsconsentiti, formattata come oggetto JSON, ad esempio{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.
Crea o aggiorna una policy Key Access Justifications predefinita in un progetto utilizzando il
projects.updateKeyAccessJustificationsPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto per cui vuoi impostare la policy Key Access Justifications predefinita.POLICY: la policy Key Access Justifications che elenca iallowedAccessReasonsconsentiti, formattata come oggetto JSON, ad esempio{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.
Ottenere una policy Key Access Justifications predefinita
REST
Ottieni i metadati sulla policy Key Access Justifications predefinita esistente in un'
organizzazione utilizzando il
organizations.getKajPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione per cui vuoi ottenere la policy Key Access Justifications predefinita.
La risposta è simile alla seguente:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Ottieni i metadati sulla policy Key Access Justifications predefinita esistente in una
cartella utilizzando il
folders.getKajPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Sostituisci FOLDER_ID con l'ID della cartella per cui vuoi ottenere la policy Key Access Justifications predefinita.
La risposta è simile alla seguente:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Ottieni i metadati sulla policy Key Access Justifications predefinita esistente in un
progetto utilizzando il
projects.getKajPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Sostituisci PROJECT_ID con l'ID del progetto per cui vuoi ottenere la policy Key Access Justifications predefinita.
La risposta è simile alla seguente:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Ottenere la policy Key Access Justifications predefinita effettiva in un progetto
I progetti ereditano la policy predefinita dal loro antenato più vicino. Se sono impostate più policy predefinite sugli antenati di un singolo progetto, puoi ottenere la policy effettiva per il progetto per visualizzare la policy applicata alle nuove chiavi Cloud KMS create in quel progetto.
REST
Ottieni i metadati sulla policy Key Access Justifications predefinita effettiva in un
progetto utilizzando il
projects.showEffectiveKeyAccessJustificationsPolicyConfig
metodo:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Sostituisci PROJECT_ID con l'ID del progetto per cui vuoi ottenere la policy Key Access Justifications predefinita effettiva.
La risposta è simile alla seguente:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}