Google Cloud offre due vincoli di policy dell'organizzazione per garantire l'utilizzo di CMEK in un'organizzazione:
constraints/gcp.restrictNonCmekServicesviene utilizzato per richiedere la protezione CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsviene utilizzato per limitare le chiavi Filestore utilizzate per la protezione CMEK.
Le policy dell'organizzazione per le chiavi CMEK si applicano solo alle risorse appena create all'interno dei servizi supportati. Google Cloud
Per una spiegazione più dettagliata di come funziona, consulta Google Cloud Gerarchia delle risorse e policy dell'organizzazione per le chiavi CMEK.
Controllare l'utilizzo di CMEK con la policy dell'organizzazione
Filestore si integra con i vincoli delle policy dell'organizzazione per le chiavi CMEK per consentirti di specificare i requisiti di conformità alla crittografia per le risorse Filestore nella tua organizzazione.
Questa integrazione ti consente di:
Le sezioni seguenti trattano entrambi questi compiti.
Richiedere le chiavi CMEK per tutte le risorse Filestore
Una policy comune è quella di richiedere l'utilizzo delle chiavi CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per applicare questa policy in Filestore.
Se impostata, questa policy dell'organizzazione fa sì che tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata non vadano a buon fine.
Dopo aver impostato questa policy, si applica solo alle nuove risorse del progetto. Tutte le risorse esistenti senza chiavi Cloud KMS impostate continuano a esistere e sono accessibili senza problemi.
Console
Apri la pagina Policy dell'organizzazione.
Nel campo Filtro, inserisci
constraints/gcp.restrictNonCmekServices, quindi fai clic su Limita i servizi che possono creare risorse senza CMEK.Fai clic su Gestisci policy.
Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
Seleziona Aggiungi una regola.
In Valori policy, seleziona Personalizzato.
In Tipo di policy, seleziona Nega.
Nel campo Valori personalizzati, inserisci
is:file.googleapis.com.Fai clic su Fine, quindi su Imposta policy.
gcloud
Crea un file temporaneo
/tmp/policy.yamlper archiviare la policy:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:file.googleapis.comSostituisci PROJECT_ID con l'ID progetto del progetto che vuoi utilizzare.
Esegui il comando
org-policies set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che la policy sia stata applicata correttamente, puoi provare a creare un'istanza o un backup nel progetto. La procedura non va a buon fine a meno che tu non specifichi una chiave Cloud KMS.
Limitare le chiavi Cloud KMS per un progetto Filestore
Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa in un progetto Filestore.
Ad esempio, puoi specificare una regola: "Per tutte le risorse Filestore in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys OR projects/team-specific-keys".
Console
Apri la pagina Policy dell'organizzazione.
Nel campo Filtro, inserisci
constraints/gcp.restrictCmekCryptoKeyProjects, quindi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.Fai clic su Gestisci policy.
Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.
Seleziona Aggiungi una regola.
In Valori policy, seleziona Personalizzato.
In Tipo di policy, seleziona Consenti.
Nel campo Valori personalizzati, inserisci quanto segue:
under:projects/KMS_PROJECT_IDSostituisci KMS_PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
Ad esempio,
under:projects/my-kms-project.Fai clic su Fine, quindi su Imposta policy.
gcloud
Crea un file temporaneo
/tmp/policy.yamlper archiviare la policy:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_IDDove:
- PROJECT_ID è l'ID progetto del progetto che vuoi utilizzare.
- KMS_PROJECT_ID è l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.
Esegui il comando org-policies set-policy:
gcloud org-policies set-policy /tmp/policy.yaml
Per verificare che la policy sia stata applicata correttamente, puoi provare a creare un'istanza o un backup utilizzando una chiave Cloud KMS di un altro progetto. La procedura non andrà a buon fine.
Limitazioni
Quando imposti una policy dell'organizzazione, si applicano le seguenti limitazioni.
Disponibilità di CMEK
Ti ricordiamo che il supporto di CMEK non è disponibile per i livelli di servizio HDD base e SSD base. Dato il modo in cui sono definiti questi vincoli, se applichi una policy dell'organizzazione che richiede l'utilizzo di CMEK e poi tenti di creare un'istanza o un backup di livello base nel progetto associato, le operazioni di creazione non vanno a buon fine.
Risorse esistenti
Le risorse esistenti non sono soggette a policy dell'organizzazione appena create.
Ad esempio, se crei una policy dell'organizzazione che richiede di specificare una chiave CMEK per ogni operazione create, la policy non si applica retroattivamente alle istanze e alle catene di backup esistenti. Queste risorse sono ancora accessibili senza una chiave CMEK. Se vuoi applicare la policy alle risorse esistenti, siano esse istanze o catene di backup, devi sostituirle.
Autorizzazioni richieste per impostare una policy dell'organizzazione
L'autorizzazione per impostare o aggiornare la policy dell'organizzazione potrebbe essere difficile da ottenere a scopo di test. Devi avere il ruolo di amministratore policy dell'organizzazione, che può essere concesso solo a livello di organizzazione.
Sebbene il ruolo debba essere concesso a livello di organizzazione, è comunque possibile specificare una policy che si applichi solo a un progetto o a una cartella specifici.
Impatto della rotazione della chiave Cloud KMS
Filestore non ruota automaticamente la chiave di crittografia di una risorsa quando viene ruotata la chiave Cloud KMS associata a quella risorsa.
Tutti i dati nelle istanze e nei backup esistenti continuano a essere protetti dalla versione della chiave con cui sono stati creati.
Tutte le istanze o i backup appena creati utilizzano la versione della chiave primaria specificata al momento della creazione.
Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono criptati nuovamente automaticamente. Per criptare i dati con la versione più recente della chiave, devi decriptare la vecchia versione della chiave dalla risorsa, quindi criptare nuovamente la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disabilita o elimina automaticamente le versioni della chiave esistenti.
Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta le seguenti guide:
- Ruotare una chiave
- Decriptare e ricriptare i dati
- Abilitare e disabilitare le versioni della chiave
- Eliminare e ripristinare le versioni della chiave
Accesso di Filestore alla chiave Cloud KMS
Una chiave Cloud KMS è considerata disponibile e accessibile da Filestore nelle seguenti condizioni:
- La chiave è abilitata
- Il account di servizio Filestore dispone delle autorizzazioni di crittografia e decrittografia sulla chiave
Passaggi successivi
- Scopri come criptare un'istanza o un backup Filestore.
- Scopri di più su CMEK.
- Scopri di più sulla crittografia dei dati in transito Google Cloud.
- Scopri di più sulle policy dell'organizzazione.
- Scopri di più sulle policy dell'organizzazione per le chiavi CMEK.