Imposta la policy Key Access Justifications predefinita

Questa pagina mostra come configurare le policy Key Access Justifications predefinite per Assured Workloads. Puoi impostare una policy Key Access Justifications predefinita per un'organizzazione, una cartella o un progetto. La policy Key Access Justifications predefinita viene applicata automaticamente alle nuove chiavi create all'interno di quella risorsa, a meno che non venga impostata una policy Key Access Justifications sulla chiave al momento della creazione. Le policy Key Access Justifications predefinite non vengono applicate alle chiavi esistenti.

Prima di iniziare

  • Puoi impostare policy di Key Access Justifications predefinite solo per le chiavi Cloud KMS nelle cartelle registrate nel pacchetto di controllo delle regioni del Giappone in Assured Workloads.

Autorizzazioni IAM obbligatorie

Per ottenere le autorizzazioni necessarie per creare e gestire le policy di giustificazione dell'accesso alle chiavi predefinite, chiedi all'amministratore di concederti il ruolo IAM Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) nell'organizzazione, nella cartella o nel progetto che contiene la chiave. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire le policy di Key Access Justifications predefinite. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

Per creare e gestire le policy Key Access Justifications predefinite sono necessarie le seguenti autorizzazioni:

  • cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
  • cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.

Impostare o modificare una policy Key Access Justifications predefinita

Console

  1. Nella console Google Cloud , vai alla pagina Gestione chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic su Controlli KMS e poi su Key Access Justifications (KAJ).

  3. Fai clic su Modifica.

  4. Seleziona Imposta policy per Key Access Justifications, quindi seleziona Consenti codici motivo specifici.

  5. Per Motivi di giustificazione, seleziona Accesso avviato dal cliente, Operazione di sistema avviata da Google e tutti gli altri codici motivo che vuoi consentire. Sia l'accesso avviato dal cliente che l'operazione di sistema avviata da Google sono essenziali per il normale funzionamento.

  6. Fai clic su Crea.

gcloud

Impostare una policy predefinita per un'organizzazione

Crea o aggiorna una policy Key Access Justifications predefinita in una cartella utilizzando il comando kms kaj-config update con il flag --organization:

gcloud beta kms kaj-config update
    --organization=ORGANIZATION_NUMBER
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Sostituisci quanto segue:

  • ORGANIZATION_NUMBER: il numero dell'organizzazione per cui vuoi impostare la policy Key Access Justifications predefinita.
  • ALLOWED_ACCESS_REASONS: il criterio Key Access Justifications che elenca i motivi di accesso consentiti, formattati come elenco separato da virgole, ad esempio CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

Impostare una norma predefinita in una cartella

Crea o aggiorna una policy Key Access Justifications predefinita in una cartella utilizzando il comando kms kaj-config update con il flag --folder:

gcloud beta kms kaj-config update
    --folder=FOLDER_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Sostituisci quanto segue:

  • FOLDER_ID: l'ID della cartella per cui vuoi impostare la policy Key Access Justifications predefinita.
  • ALLOWED_ACCESS_REASONS: il criterio Key Access Justifications che elenca i motivi di accesso consentiti, formattati come elenco separato da virgole, ad esempio CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

Impostare una norma predefinita per un progetto

Crea o aggiorna una policy Key Access Justifications predefinita in un progetto utilizzando il comando kms kaj-config update con il flag --project:

gcloud beta kms kaj-config update
    --project=PROJECT_ID
    --allowed-access-reasons="ALLOWED_ACCESS_REASONS"

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per il quale vuoi impostare la policy Key Access Justifications predefinita.
  • ALLOWED_ACCESS_REASONS: il criterio Key Access Justifications che elenca i motivi di accesso consentiti, formattati come elenco separato da virgole, ad esempio CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

REST

Impostare una policy predefinita per un'organizzazione

Crea o aggiorna una policy Key Access Justifications predefinita in un'organizzazione utilizzando il metodo organizations.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID dell'organizzazione per cui vuoi impostare la policy Key Access Justifications predefinita.
  • POLICY: l'elenco delle policy di Key Access Justifications che consentono allowedAccessReasons, formattato come oggetto JSON, ad esempio {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

Impostare una norma predefinita in una cartella

Crea o aggiorna una policy Key Access Justifications predefinita in una cartella utilizzando il metodo folders.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Sostituisci quanto segue:

  • FOLDER_ID: l'ID della cartella per cui vuoi impostare la policy Key Access Justifications predefinita.
  • POLICY: l'elenco delle policy di Key Access Justifications che consentono allowedAccessReasons, formattato come oggetto JSON, ad esempio {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

Impostare una norma predefinita per un progetto

Crea o aggiorna una policy Key Access Justifications predefinita in un progetto utilizzando il metodo projects.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per il quale vuoi impostare la policy Key Access Justifications predefinita.
  • POLICY: l'elenco delle policy di Key Access Justifications che consentono allowedAccessReasons, formattato come oggetto JSON, ad esempio {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta i codici di giustificazione.

Visualizzare una policy Key Access Justifications predefinita

Console

  1. Nella console Google Cloud , vai alla pagina Gestione chiavi.

    Vai a Gestione delle chiavi

  2. Fai clic su Controlli KMS e poi su Key Access Justifications (KAJ). Viene visualizzata la policy predefinita per l'organizzazione, la cartella o il progetto selezionato.

gcloud

Visualizzare la policy predefinita di un'organizzazione

Per visualizzare la policy predefinita impostata in un'organizzazione, esegui il comando kms kaj-config describe con il flag --organization:

gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER

Sostituisci ORGANIZATION_NUMBER con il numero dell'organizzazione.

La risposta è simile alla seguente:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig

Visualizzare il criterio predefinito per una cartella

Per visualizzare la policy predefinita impostata in una cartella, esegui il comando kms kaj-config describe con il flag --folder:

gcloud beta kms kaj-config describe --folder=FOLDER_ID

Sostituisci FOLDER_ID con l'ID della cartella.

La risposta è simile alla seguente:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig

Visualizzare la policy predefinita di un progetto

Per visualizzare la policy predefinita impostata in un progetto, esegui il comando kms kaj-config describe con il flag --project:

gcloud beta kms kaj-config describe --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID del progetto.

La risposta è simile alla seguente:

defaultKeyAccessJustificationPolicy:
  defaultPolicyAvailable: true
  allowedAccessReasons:
  - CUSTOMER_INITIATED_ACCESS
  - GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig

Questo comando restituisce la policy predefinita impostata nel progetto, se esistente. Se non è impostata alcuna policy predefinita per il progetto, questo comando non restituisce alcuna policy, anche se il progetto eredita una policy predefinita da una cartella o un'organizzazione padre. Per visualizzare la policy predefinita effettiva di un progetto, consulta Visualizzare la policy Key Access Justifications predefinita effettiva di un progetto in questa pagina.

REST

Recupera i metadati sulla policy Key Access Justifications predefinita esistente in un'organizzazione utilizzando il metodo organizations.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione per cui vuoi ottenere la policy Key Access Justifications predefinita.

La risposta è simile alla seguente:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Recupera i metadati della policy Key Access Justifications predefinita esistente in una cartella utilizzando il metodo folders.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Sostituisci FOLDER_ID con l'ID della cartella per cui vuoi ottenere la policy Key Access Justifications predefinita.

La risposta è simile alla seguente:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Recupera i metadati sulla policy Key Access Justifications predefinita esistente in un progetto utilizzando il metodo projects.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Sostituisci PROJECT_ID con l'ID del progetto per il quale vuoi ottenere la policy Key Access Justifications predefinita.

La risposta è simile alla seguente:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "defaultPolicyAvailable": true,
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Visualizzare la policy Key Access Justifications predefinita effettiva in un progetto

I progetti ereditano la policy predefinita dalla cartella o dall'organizzazione padre più vicina. Se sono impostate più policy predefinite sugli antenati di un singolo progetto, puoi ottenere la policy effettiva per il progetto per visualizzare la policy applicata alle nuove chiavi Cloud KMS create in quel progetto.

Nella console Google Cloud , la policy Key Access Justifications predefinita effettiva per un progetto viene visualizzata durante la creazione di una chiave nel progetto. Durante la creazione della chiave, scegli se ereditare la policy predefinita effettiva o creare una nuova chiave e una nuova policy.

gcloud

Per visualizzare i metadati relativi alla policy Key Access Justifications predefinita effettiva di un progetto, chiama il metodo projects.showEffectiveKeyAccessJustificationsPolicyConfig:

gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID

Sostituisci PROJECT_ID con l'ID del progetto per il quale vuoi ottenere la policy Key Access Justifications predefinita effettiva.

La risposta è simile alla seguente:

effectiveKajPolicy:
  defaultKeyAccessJustificationPolicy:
    defaultPolicyAvailable: true
    allowedAccessReasons:
    - CUSTOMER_INITIATED_ACCESS
    - GOOGLE_INITIATED_SYSTEM_OPERATION
  name: folders/FOLDER_ID/kajPolicyConfig

REST

Per visualizzare i metadati relativi alla policy Key Access Justifications predefinita effettiva di un progetto, chiama il metodo projects.showEffectiveKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Sostituisci PROJECT_ID con l'ID del progetto per il quale vuoi ottenere la policy Key Access Justifications predefinita effettiva.

La risposta è simile alla seguente:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "defaultPolicyAvailable": true,
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

Passaggi successivi