CMEK-Organisationsrichtlinie anwenden

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung in einer Organisation zu gewährleisten:

  • constraints/gcp.restrictNonCmekServices wird verwendet, um einen CMEK-Schutz zu erzwingen.
  • Mit constraints/gcp.restrictCmekCryptoKeyProjects wird eingeschränkt, welche Filestore-Schlüssel für den CMEK-Schutz verwendet werden.

CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Diensten. Google Cloud

Eine ausführlichere Erklärung finden Sie unter Google Cloud Ressourcenhierarchie und CMEK-Organisationsrichtlinien.

CMEK-Nutzung mit Organisationsrichtlinie steuern

Filestore lässt sich in CMEK-Organisationsrichtlinieneinschränkungen einbinden, um Anforderungen für die Verschlüsselungscompliance für Filestore-Ressourcen in Ihrer Organisation anzugeben.

Durch diese Einbindung haben Sie folgende Möglichkeiten:

In den folgenden Abschnitten werden beide Aufgaben behandelt.

CMEKs für alle Filestore-Ressourcen erzwingen

Eine gängige Richtlinie besteht darin, die Verwendung von CMEKs zu erzwingen, um alle Ressourcen in einer Organisation zu schützen. Mit der constraints/gcp.restrictNonCmekServices-Einschränkung können Sie diese Richtlinie in Filestore erzwingen.

Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.

Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictNonCmekServices ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.

  3. Klicken Sie auf  Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.

  7. Wählen Sie für Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte den Wert is:file.googleapis.com ein.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:file.googleapis.com

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie verwenden möchten.

  2. Führen Sie den Befehl org-policies set-policy aus: 

      gcloud org-policies set-policy /tmp/policy.yaml

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, eine Instanz oder ein Backup im Projekt zu erstellen. Der Vorgang schlägt fehl, wenn Sie keinen Cloud KMS-Schlüssel angeben.

Cloud KMS-Schlüssel für ein Filestore-Projekt einschränken

Mit der constraints/gcp.restrictCmekCryptoKeyProjects-Einschränkung können Sie die Cloud KMS-Schlüssel einschränken, mit denen eine Ressource in einem Filestore-Projekt geschützt werden kann.

Sie können eine Regel angeben, z. B. „Für alle Filestore-Ressourcen in projects/my-company-data-project müssen die in diesem Projekt verwendeten Cloud KMS-Schlüssel von projects/my-company-central-keys ODER projects/team-specific-keys stammen.“

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictCmekCryptoKeyProjects ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.

  3. Klicken Sie auf  Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie für Richtlinienwerte die Option Benutzerdefiniert aus.

  7. Wählen Sie für Richtlinientyp Zulassen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte Folgendes ein:

    under:projects/KMS_PROJECT_ID

    Ersetzen Sie KMS_PROJECT_ID durch die Projekt-ID, in der sich die Cloud KMS-Schlüssel befinden, die Sie verwenden möchten.

    Beispiel: under:projects/my-kms-project.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Wobei:

    • PROJECT_ID ist die Projekt-ID des Projekts, das Sie verwenden möchten.
    • KMS_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Cloud KMS-Schlüssel befinden, die Sie verwenden möchten.

  2. Führen Sie den Befehl „org-policies set-policy“ aus:

      gcloud org-policies set-policy /tmp/policy.yaml

Sie können versuchen, eine Instanz oder ein Backup mit einem Cloud KMS-Schlüssel aus einem anderen Projekt zu erstellen, um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde. Der Vorgang wird fehlschlagen.

Beschränkungen

Beim Festlegen von Organisationsrichtlinien gelten die folgenden Einschränkungen.

CMEK-Verfügbarkeit

Zur Erinnerung: CMEK-Unterstützung ist für die Dienststufen „Basic HDD“ und „Basic SSD“ nicht verfügbar. Aufgrund der Art und Weise, wie diese Einschränkungen definiert sind, schlagen Erstellungsvorgänge fehl, wenn Sie eine Organisationsrichtlinie anwenden, die die Verwendung von CMEK erfordert, und dann versuchen, eine Instanz oder ein Backup der Basic-Tier im zugehörigen Projekt zu erstellen.

Vorhandene Ressourcen

Vorhandene Ressourcen unterliegen nicht neu erstellten Organisationsrichtlinien. Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, in der für jeden create-Vorgang ein CMEK angegeben werden muss, gilt die Richtlinie nicht rückwirkend für vorhandene Instanzen und Sicherungsketten. Auf diese Ressourcen kann weiterhin ohne CMEK zugegriffen werden. Wenn Sie die Richtlinie auf vorhandene Ressourcen anwenden möchten, müssen Sie sie ersetzen. Das gilt sowohl für Instanzen als auch für Sicherungsketten.

Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie

Die Berechtigung zum Festlegen oder Aktualisieren der Organisationsrichtlinie kann zu Testzwecken schwierig besorgbar sein. Sie benötigen die Rolle „Administrator für Organisationsrichtlinien“, die nur auf Organisationsebene gewährt werden kann.

Die Rolle muss zwar auf Organisationsebene zugewiesen werden, es ist jedoch weiterhin möglich, eine Richtlinie anzugeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.

Auswirkung der Cloud KMS-Schlüsselrotation

In Filestore wird der Verschlüsselungsschlüssel einer Ressource nicht automatisch rotiert, wenn der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel rotiert wird.

  • Alle Daten in vorhandenen Instanzen und Sicherungen sind weiterhin durch die Schlüsselversion geschützt, mit der sie erstellt wurden.

  • Alle neu erstellten Instanzen oder Sicherungen verwenden die Primärschlüsselversion, die zum Zeitpunkt der Erstellung angegeben wurde.

Wenn Sie einen Schlüssel rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Wenn Sie Ihre Daten mit der neuesten Schlüsselversion verschlüsseln möchten, müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und dann dieselbe Ressource mit der neuen Schlüsselversion neu verschlüsseln. Außerdem werden durch die Rotation eines Schlüssels vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.

Eine detaillierte Anleitung für jede dieser Aufgaben finden Sie in den folgenden Anleitungen:

Filestore-Zugriff auf den Cloud KMS-Schlüssel

Ein Cloud KMS-Schlüssel gilt in Filestore unter folgenden Voraussetzungen als verfügbar und zugänglich:

  • Wenn der Schlüssel aktiviert ist
  • Das Filestore-Dienstkonto hat für den Schlüssel Berechtigungen zum Ver- und Entschlüsseln.

Nächste Schritte