デフォルトの Key Access Justifications ポリシーを設定する
このページでは、Assured Workloads のデフォルトの Key Access Justifications ポリシーを構成する方法について説明します。組織、フォルダ、プロジェクトにデフォルトの Key Access Justifications ポリシーを設定できます。デフォルトの Key Access Justifications ポリシーは、リソース内で作成された新しい鍵に自動的に適用されます。ただし、鍵の作成時に Key Access Justifications ポリシーが設定されている場合は除きます。デフォルトの Key Access Justifications ポリシーは、既存の鍵には適用されません。
始める前に
- Cloud KMS 鍵のデフォルトの Key Access Justifications ポリシーを設定する機能は、Assured Workloads の日本のリージョン コントロール パッケージでのみ使用できます。
必要な IAM 権限
デフォルトの Key Access Justifications ポリシーを作成して管理するために必要な権限を取得するには、鍵を含む組織、フォルダ、またはプロジェクトに対するKey Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
この事前定義ロールには デフォルトの Key Access Justifications ポリシーを作成および管理するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。
必要な権限
デフォルトの Key Access Justifications ポリシーを作成および管理するには、次の権限が必要です。
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。
デフォルトの Key Access Justifications ポリシーを設定する
REST
`organizations.updateKeyAccessJustificationsPolicyConfig` メソッドを使用して、組織のデフォルトの Key Access Justifications ポリシーを作成または更新します。
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
次のように置き換えます。
ORGANIZATION_ID: デフォルトの Key Access Justifications ポリシーを設定する組織の ID。POLICY:許可されたallowedAccessReasonsを一覧表示する Key Access Justifications ポリシー。JSON オブジェクトとしてフォーマットされます(例:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]})。正当化理由の候補の一覧については、 正当化コードをご覧ください。
folders.updateKeyAccessJustificationsPolicyConfig
メソッドを使用して、フォルダのデフォルトの Key Access Justifications ポリシーを作成または更新します。
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
次のように置き換えます。
FOLDER_ID: デフォルトの Key Access Justifications ポリシーを設定するフォルダの ID。POLICY:許可されたallowedAccessReasonsを一覧表示する Key Access Justifications ポリシー。JSON オブジェクトとしてフォーマットされます(例:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]})。正当化理由の候補の一覧については、 正当化コードをご覧ください。
projects.updateKeyAccessJustificationsPolicyConfig
メソッドを使用して、プロジェクトのデフォルトの Key Access Justifications ポリシーを作成または更新します。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
次のように置き換えます。
PROJECT_ID: デフォルトの Key Access Justifications ポリシーを設定するプロジェクトの ID。POLICY:許可されたallowedAccessReasonsを一覧表示する Key Access Justifications ポリシー。JSON オブジェクトとしてフォーマットされます(例:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]})。正当化理由の候補の一覧については、 正当化コードをご覧ください。
デフォルトの Key Access Justifications ポリシーを取得する
REST
organizations.getKajPolicyConfig メソッドを使用して、組織の既存のデフォルトの Key Access Justifications ポリシーに関するメタデータを取得します。
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
ORGANIZATION_ID は、デフォルトの Key Access Justifications ポリシーを取得する組織の ID に置き換えます。
レスポンスは次の例のようになります。
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
`folders.getKajPolicyConfig` メソッドを使用して、
フォルダの既存のデフォルトの Key Access Justifications ポリシーに関するメタデータを取得します。
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
FOLDER_ID は、デフォルトの Key Access Justifications ポリシーを取得するフォルダの ID に置き換えます。
レスポンスは次の例のようになります。
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
project using the
projects.getKajPolicyConfig
メソッドを使用して、プロジェクトの既存のデフォルトの Key Access Justifications ポリシーに関するメタデータを取得します。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
PROJECT_ID は、デフォルトの Key Access Justifications ポリシーを取得するプロジェクトの ID に置き換えます。
レスポンスは次の例のようになります。
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
プロジェクトの有効なデフォルトの Key Access Justifications ポリシーを取得する
プロジェクトは、最も近い祖先からデフォルト ポリシーを継承します。単一のプロジェクトの祖先に複数のデフォルト ポリシーが設定されている場合は、プロジェクトの有効なポリシーを取得して、そのプロジェクトで作成された新しい Cloud KMS 鍵に適用されるポリシーを確認できます。
REST
`projects.showEffectiveKeyAccessJustificationsPolicyConfig` メソッドを使用して、プロジェクトの有効なデフォルトの Key Access Justifications ポリシーに関するメタデータを取得します。
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
PROJECT_ID は、有効なデフォルトの Key Access Justifications ポリシーを取得するプロジェクトの ID に置き換えます。
レスポンスは次の例のようになります。
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}