Definir a política padrão de Justificativas de acesso às chaves
Esta página mostra como configurar políticas padrão de Justificativas de acesso às chaves para o Assured Workloads. É possível definir uma política padrão de Justificativas de acesso às chaves para uma organização, pasta ou projeto. A política padrão de Justificativas de acesso às chaves é aplicada automaticamente a novas chaves criadas nesse recurso, a menos que uma política de Justificativas de acesso às chaves seja definida na chave quando ela é criada. As políticas padrão de Justificativas de acesso às chaves não são aplicadas às chaves atuais.
Antes de começar
- Só é possível definir políticas padrão de Justificativas de acesso às chaves para chaves do Cloud KMS em pastas inscritas no pacote de controle de regiões do Japão no Assured Workloads.
Permissões do IAM obrigatórias
Para receber as permissões necessárias para criar e gerenciar políticas padrão de Justificativas de acesso às chaves, peça ao administrador para conceder a você o papel do IAM de administrador de configuração de política de Justificativas de acesso às chaves (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) na organização, pasta ou projeto que contém a chave.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para criar e gerenciar políticas padrão de Justificativas de acesso às chaves. Para acessar as permissões exatas que são necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para criar e gerenciar políticas padrão de Justificativas de acesso às chaves:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Definir ou mudar uma política padrão de Justificativas de acesso às chaves
Console
No Google Cloud console do, acesse a página Gerenciamento de chaves.
Clique em Controles do KMS e em Justificativas de acesso às chaves (KAJ).
Clique em Editar.
Selecione Definir política de Justificativas de acesso às chaves e selecione Permitir códigos de motivo específicos.
Em Motivos de justificativa, selecione Acesso iniciado pelo cliente, Operação do sistema iniciada pelo Google e outros códigos de motivo que você quer permitir. Acesso iniciado pelo cliente e Operação do sistema iniciada pelo Google são essenciais para o funcionamento normal.
Clique em Criar.
gcloud
Definir a política padrão em uma organização
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em uma pasta usando o comando kms kaj-config update com a flag --organization:
gcloud beta kms kaj-config update
--organization=ORGANIZATION_NUMBER
--allowed-access-reasons="ALLOWED_ACCESS_REASONS"
Substitua:
ORGANIZATION_NUMBER: o número da organização para a qual você quer definir a política padrão de Justificativas de acesso às chaves.ALLOWED_ACCESS_REASONS: a política de Justificativas de acesso às chaves que lista os motivos de acesso permitidos, formatada como uma lista separada por vírgulas. Por exemplo,CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
Definir a política padrão em uma pasta
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em uma pasta usando o comando kms kaj-config update com a flag --folder:
gcloud beta kms kaj-config update
--folder=FOLDER_ID
--allowed-access-reasons="ALLOWED_ACCESS_REASONS"
Substitua:
FOLDER_ID: o ID da pasta para a qual você quer definir a política padrão de Justificativas de acesso às chaves.ALLOWED_ACCESS_REASONS: a política de Justificativas de acesso às chaves que lista os motivos de acesso permitidos, formatada como uma lista separada por vírgulas. Por exemplo,CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
Definir a política padrão em um projeto
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em um projeto usando o comando kms kaj-config update com a flag --project:
gcloud beta kms kaj-config update
--project=PROJECT_ID
--allowed-access-reasons="ALLOWED_ACCESS_REASONS"
Substitua:
PROJECT_ID: o ID do projeto para o qual você quer definir a política padrão de Justificativas de acesso às chaves.ALLOWED_ACCESS_REASONS: a política de Justificativas de acesso às chaves que lista os motivos de acesso permitidos, formatada como uma lista separada por vírgulas. Por exemplo,CUSTOMER_INITIATED_ACCESS,GOOGLE_INITIATED_SYSTEM_OPERATION. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
REST
Definir a política padrão em uma organização
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em uma organização
usando o
organizations.updateKeyAccessJustificationsPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
ORGANIZATION_ID: o ID da organização para a qual você quer definir a política padrão de Justificativas de acesso às chaves.POLICY: a política de Justificativas de acesso às chaves que listaallowedAccessReasonspermitidos, formatada como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
Definir a política padrão em uma pasta
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em uma pasta usando o
folders.updateKeyAccessJustificationsPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
FOLDER_ID: o ID da pasta para a qual você quer definir a política padrão de Justificativas de acesso às chaves.POLICY: a política de Justificativas de acesso às chaves que listaallowedAccessReasonspermitidos, formatada como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
Definir a política padrão em um projeto
Crie ou atualize uma política padrão de Justificativas de acesso às chaves em um projeto usando o
projects.updateKeyAccessJustificationsPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
PROJECT_ID: o ID do projeto para o qual você quer definir a política padrão de Justificativas de acesso às chaves.POLICY: a política de Justificativas de acesso às chaves que listaallowedAccessReasonspermitidos, formatada como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte Códigos de justificativa.
Conferir uma política padrão de Justificativas de acesso às chaves
Console
No Google Cloud console do, acesse a página Gerenciamento de chaves.
Clique em Controles do KMS e em Justificativas de acesso às chaves (KAJ). A política padrão da organização, pasta ou projeto selecionado é exibida.
gcloud
Conferir a política padrão em uma organização
Para conferir a política padrão definida em uma organização, execute o kms kaj-config
describe comando com a flag --organization:
gcloud beta kms kaj-config describe --organization=ORGANIZATION_NUMBER
Substitua ORGANIZATION_NUMBER pelo número da organização.
A resposta é semelhante a:
defaultKeyAccessJustificationPolicy:
defaultPolicyAvailable: true
allowedAccessReasons:
- CUSTOMER_INITIATED_ACCESS
- GOOGLE_INITIATED_SYSTEM_OPERATION
name: organizations/ORGANIZATION_NUMBER/kajPolicyConfig
Conferir a política padrão em uma pasta
Para conferir a política padrão definida em uma pasta, execute o kms kaj-config
describe comando com a flag --folder:
gcloud beta kms kaj-config describe --folder=FOLDER_ID
Substitua FOLDER_ID pelo ID da pasta.
A resposta é semelhante a:
defaultKeyAccessJustificationPolicy:
defaultPolicyAvailable: true
allowedAccessReasons:
- CUSTOMER_INITIATED_ACCESS
- GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig
Conferir a política padrão em um projeto
Para conferir a política padrão definida em um projeto, execute o comando kms kaj-config
describe com a flag --project:
gcloud beta kms kaj-config describe --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto.
A resposta é semelhante a:
defaultKeyAccessJustificationPolicy:
defaultPolicyAvailable: true
allowedAccessReasons:
- CUSTOMER_INITIATED_ACCESS
- GOOGLE_INITIATED_SYSTEM_OPERATION
name: projects/PROJECT_ID/kajPolicyConfig
Esse comando retorna a política padrão definida no projeto, se houver. Se nenhuma política padrão for definida no projeto, esse comando não retornará nenhuma política, mesmo que o projeto herde uma política padrão de uma pasta ou organização pai. Para conferir a política padrão efetiva em um projeto, consulte Conferir a política padrão efetiva de Justificativas de acesso às chaves em um projeto nesta página.
REST
Receba metadados sobre a política padrão de Justificativas de acesso às chaves em uma
organização usando o
organizations.getKajPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Substitua ORGANIZATION_ID pelo ID da organização para a qual você quer receber a política padrão de Justificativas de acesso às chaves.
A resposta é semelhante a:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"defaultPolicyAvailable": true,
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Receba metadados sobre a política padrão de Justificativas de acesso às chaves em uma
pasta usando o
folders.getKajPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Substitua FOLDER_ID pelo ID da pasta para a qual você quer receber a política padrão de Justificativas de acesso às chaves.
A resposta é semelhante a:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"defaultPolicyAvailable": true,
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Receba metadados sobre a política padrão de Justificativas de acesso às chaves em um
projeto usando o
projects.getKajPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual você quer receber a política padrão de Justificativas de acesso às chaves.
A resposta é semelhante a:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"defaultPolicyAvailable": true,
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Conferir a política padrão efetiva de Justificativas de acesso às chaves em um projeto
Os projetos herdam a política padrão da pasta ou organização pai mais próxima. Se houver várias políticas padrão definidas nos ancestrais de um único projeto, você poderá receber a política efetiva do projeto para conferir a política aplicada às novas chaves do Cloud KMS criadas nesse projeto.
No Google Cloud console do, a política padrão efetiva de Justificativas de acesso às chaves em um projeto é exibida durante a criação de uma chave no projeto. Durante a criação da chave, você escolhe se quer herdar a política padrão efetiva ou criar uma nova chave e política.
gcloud
Para conferir metadados sobre a política padrão efetiva de Justificativas de acesso às chaves em um
projeto, chame o
projects.showEffectiveKeyAccessJustificationsPolicyConfig
método:
gcloud beta kms kaj-config show-effective-config --project=PROJECT_ID
Substitua PROJECT_ID pelo ID do projeto para o qual você quer receber a política padrão efetiva de Justificativas de acesso às chaves.
A resposta é semelhante a:
effectiveKajPolicy:
defaultKeyAccessJustificationPolicy:
defaultPolicyAvailable: true
allowedAccessReasons:
- CUSTOMER_INITIATED_ACCESS
- GOOGLE_INITIATED_SYSTEM_OPERATION
name: folders/FOLDER_ID/kajPolicyConfig
REST
Para conferir metadados sobre a política padrão efetiva de Justificativas de acesso às chaves em um
projeto, chame o
projects.showEffectiveKeyAccessJustificationsPolicyConfig
método:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual você quer receber a política padrão efetiva de Justificativas de acesso às chaves.
A resposta é semelhante a:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"defaultPolicyAvailable": true,
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}