החלה של מדיניות הארגון ל-CMEK

‫Google Cloud ‏Google Cloud מציעה שני אילוצים של מדיניות הארגון כדי להבטיח שימוש ב-CMEK בכל הארגון:

  • constraints/gcp.restrictNonCmekServices משמש לדרישה של הגנה באמצעות CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects משמשת להגבלת המפתחות של Filestore שמשמשים להגנה באמצעות CMEK.

מדיניות הארגון ל-CMEK חלה רק על משאבים חדשים שנוצרו בשירותים Google Cloud נתמכים.

הסבר מפורט יותר על אופן הפעולה מופיע במאמרים בנושא Google Cloud היררכיית משאבים ומדיניות הארגון לגבי CMEK.

שליטה בשימוש ב-CMEK באמצעות מדיניות הארגון

‫Filestore משתלב עם אילוצי מדיניות הארגון של CMEK כדי לאפשר לכם לציין דרישות תאימות להצפנה עבור משאבי Filestore בארגון.

השילוב הזה מאפשר לכם:

בקטעים הבאים מוסבר איך לבצע את שתי המשימות האלה.

דרישה לשימוש במפתחות CMEK לכל משאבי Filestore

מדיניות נפוצה היא לדרוש שימוש במפתחות CMEK כדי להגן על כל המשאבים בארגון. אפשר להשתמש באילוץ constraints/gcp.restrictNonCmekServices כדי לאכוף את המדיניות הזו ב-Filestore.

אם המדיניות הזו מוגדרת, כל בקשה ליצירת משאב ללא מפתח Cloud KMS שצוין תיכשל.

אחרי שמגדירים את המדיניות הזו, היא חלה רק על משאבים חדשים בפרויקט. משאבים קיימים שלא הוגדרו להם מפתחות Cloud KMS ימשיכו להתקיים ותהיה אליהם גישה ללא בעיות.

המסוף

  1. פותחים את הדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בשדה מסנן, מזינים constraints/gcp.restrictNonCmekServices ולוחצים על הגבלת השירותים שיכולים ליצור משאבים ללא CMEK.

  3. לוחצים על ניהול המדיניות.

  4. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  5. בוחרים באפשרות הוספת כלל.

  6. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  7. בקטע סוג המדיניות, בוחרים באפשרות דחייה.

  8. בשדה ערכים מותאמים אישית, מזינים is:file.googleapis.com.

  9. לוחצים על סיום ואז על הגדרת מדיניות.

gcloud

  1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:file.googleapis.com

    מחליפים את PROJECT_ID במזהה הפרויקט שרוצים להשתמש בו.

  2. מריצים את הפקודה org-policies set-policy: 

      gcloud org-policies set-policy /tmp/policy.yaml

כדי לוודא שהמדיניות הוחלה בהצלחה, אפשר לנסות ליצור מופע או גיבוי בפרויקט. התהליך ייכשל אם לא תציינו מפתח Cloud KMS.

הגבלת מפתחות Cloud KMS לפרויקט Filestore

אפשר להשתמש באילוץ constraints/gcp.restrictCmekCryptoKeyProjects כדי להגביל את מפתחות Cloud KMS שבהם אפשר להשתמש להגנה על משאב בפרויקט Filestore.

לדוגמה, אפשר לציין כלל כזה: "לכל משאבי Filestore בפרויקט projects/my-company-data-project, מפתחות Cloud KMS שמשמשים בפרויקט הזה צריכים להגיע מ-projects/my-company-central-keys או מ-projects/team-specific-keys".

המסוף

  1. פותחים את הדף מדיניות הארגון.

    מעבר למדיניות הארגון

  2. בשדה Filter, מזינים constraints/gcp.restrictCmekCryptoKeyProjects ולוחצים על Restrict which projects may supply KMS CryptoKeys for CMEK.

  3. לוחצים על ניהול המדיניות.

  4. בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.

  5. בוחרים באפשרות הוספת כלל.

  6. בשדה ערכי מדיניות, בוחרים באפשרות בהתאמה אישית.

  7. בקטע סוג המדיניות, בוחרים באפשרות אישור.

  8. בשדה ערכים מותאמים אישית, מזינים את הערכים הבאים:

    under:projects/KMS_PROJECT_ID

    מחליפים את KMS_PROJECT_ID במזהה הפרויקט שבו נמצאים מפתחות Cloud KMS שרוצים להשתמש בהם.

    לדוגמה, under:projects/my-kms-project.

  9. לוחצים על סיום ואז על הגדרת מדיניות.

gcloud

  1. יוצרים קובץ זמני /tmp/policy.yaml לאחסון המדיניות:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    כאשר:

    • PROJECT_ID הוא מזהה הפרויקט שבו רוצים להשתמש.
    • KMS_PROJECT_ID הוא מזהה הפרויקט שבו נמצאים המפתחות של Cloud KMS שבהם רוצים להשתמש.

  2. מריצים את הפקודה org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

כדי לוודא שהמדיניות הוחלה בהצלחה, אפשר לנסות ליצור מכונה או גיבוי באמצעות מפתח Cloud KMS מפרויקט אחר. התהליך ייכשל.

מגבלות

ההגבלות הבאות חלות כשמגדירים מדיניות ארגונית.

זמינות של CMEK

חשוב לזכור: תמיכה ב-CMEK לא זמינה ברמות השירות הבסיסיות של HDD ו-SSD. בהתאם להגדרה של האילוצים האלה, אם תחיל מדיניות ארגון שמחייבת שימוש ב-CMEK ואז תנסו ליצור גיבוי או מופע ברמת הבסיס בפרויקט המשויך, פעולות היצירה ייכשלו.

מקורות מידע קיימים

משאבים קיימים לא כפופים למדיניות ארגון שנוצרה לאחרונה. לדוגמה, אם תיצרו מדיניות ארגונית שמחייבת אתכם לציין מפתח CMEK לכל פעולת create, המדיניות לא תחול באופן רטרואקטיבי על מקרים קיימים ועל שרשראות גיבוי. עדיין אפשר לגשת למשאבים האלה בלי CMEK. אם רוצים להחיל את המדיניות על משאבים קיימים, בין אם מדובר במופעים או בשרשראות גיבוי, צריך להחליף אותם.

ההרשאות שנדרשות להגדרת מדיניות הארגון

יכול להיות שיהיה קשה לקבל את ההרשאה להגדיר או לעדכן את מדיניות הארגון לצורך בדיקות. צריך לקבל את התפקיד 'אדמין מדיניות ארגונית', שאפשר לתת רק ברמת הארגון.

למרות שצריך לתת את התפקיד ברמת הארגון, עדיין אפשר לציין מדיניות שתחול רק על פרויקט או תיקייה ספציפיים.

ההשפעה של רוטציית מפתחות ב-Cloud KMS

‫Filestore לא מבצע רוטציה אוטומטית למפתח ההצפנה של משאב כשמתבצעת רוטציה של מפתח Cloud KMS שמשויך למשאב.

  • כל הנתונים במופעים ובגיבויים קיימים ממשיכים להיות מוגנים על ידי גרסת המפתח שבאמצעותה הם נוצרו.

  • כל הגיבויים או המופעים שנוצרו לאחרונה משתמשים בגרסה הראשית של המפתח שצוינה בזמן היצירה שלהם.

כשמבצעים רוטציה למפתח, נתונים שהוצפנו באמצעות גרסאות קודמות של המפתח לא מוצפנים מחדש באופן אוטומטי. כדי להצפין את הנתונים באמצעות גרסת המפתח העדכנית, צריך לפענח את גרסת המפתח הישנה מהמשאב, ואז להצפין מחדש את אותו משאב באמצעות גרסת המפתח החדשה. בנוסף, רוטציה של מפתח לא משביתה או משמידה באופן אוטומטי גרסאות קיימות של מפתחות.

הוראות מפורטות לביצוע כל אחת מהמשימות האלה מופיעות במדריכים הבאים:

גישת Filestore למפתח Cloud KMS

מפתח Cloud KMS נחשב לזמין ולנגיש ל-Filestore בתנאים הבאים:

  • המפתח מופעל
  • לחשבון השירות של Filestore יש הרשאות הצפנה ופענוח במפתח

המאמרים הבאים