Criar uma pasta gerenciada pelo parceiro

Esta página orienta você na criação de uma nova pasta para controles soberanos por parceiros. É necessário criar essa pasta antes de criar outros recursos destinados ao uso com Sovereign Controls by Partners.

Antes de começar

Antes de criar uma pasta, verifique se você fez o seguinte:

Concluiu a integração com Google Cloud e recebeu um e-mail com instruções para criar uma pasta gerenciada pelo parceiro.
Se a organização aplicar a restrição de política iam.allowedPolicyMemberDomains, permita os seguintes IDs de domínio adicionais antes de criar a pasta "Controles soberanos por parceiros":
- O ID da organização Google Cloud ou o ID de cliente do Google Workspace do parceiro
- O ID de cliente do Google, que é C02h8e9nw
Ao permitir esses IDs, seu parceiro e o Google podem conceder papéis do IAM na sua organização conforme necessário para gerenciar suas cargas de trabalho. Se o parceiro não tiver fornecido o ID da organização ou do cliente durante o processo de integração, peça a ele. Se você tentar criar uma pasta antes de permitir esses IDs, a operação vai falhar com o seguinte erro: One or more users named in the policy do not belong to a permitted customer.

Consulte a página Como restringir identidades por domínio para mais informações sobre como atualizar a restrição iam.allowedPolicyMemberDomains.
Entenda as restrições e limitações associadas ao limite de dados oferecido pelo parceiro.

Criar uma pasta

No console Google Cloud , acesse a página Assured Workloads.
Acesse o Assured Workloads
Se solicitado, selecione a organização.
Clique em CRIAR para acessar a página Criar uma pasta do Assured Workloads.
Observação:os controles soberanos dos parceiros são uma oferta do Assured Workloads e compartilham recursos e funcionalidades semelhantes.
Na etapa Adicionar detalhes da pasta:
- Em Nome da pasta, insira um nome exclusivo para a pasta, como aw-my-folder-name. O nome da pasta precisa ter no mínimo 4 e no máximo 30 caracteres e pode conter apenas letras, números, espaços e hífens.
  Dica:ao nomear as pastas do Assured Workloads para Controles de soberania dos parceiros, considere o seguinte:
  - Para identificar a pasta como uma pasta do Assured Workloads, inclua um prefixo no nome (como aw-). Esse identificador pode ajudar você a localizar a pasta em uma lista com outros recursos. Se você já tiver pastas do Assured Workloads, use outra convenção de nomenclatura para diferenciar a pasta "Controles soberanos por parceiros" delas.
  - Não inclua dados sensíveis ou informações de identificação pessoal (PII) no nome da pasta.
- Em Organização, selecione a organização em que você quer criar a pasta. Não será possível mudar esse local depois.
- Em Local da pasta, selecione o local na hierarquia de recursos em que a pasta será criada. Uma pasta de Sovereign Controls by Partners pode ser criada como filha de uma organização ou de outra pasta.
- Clique em Próxima.
Na etapa Escolha uma opção de pacote de controle, selecione Controles de soberania.
Selecione sua solução gerenciada pelo parceiro no menu suspenso.
Selecione uma subconta de faturamento se o parceiro tiver criado uma para você.
Em Selecionar local do recurso, escolha o local em que a criação e o uso de recursos serão aplicados pela política da organização da pasta.
Revise os detalhes das suas seleções e clique em Próxima.
Na etapa Configurar outras configurações, crie um projeto e um keyring para suas chaves de criptografia gerenciadas pelo cliente (CMEK). Nenhuma chave é criada durante esta etapa, já que o Sovereign Controls by Partners não cria automaticamente chaves criptográficas para você.
Observação: depois que o projeto de gerenciamento de chaves for criado, siga as etapas para criar uma chave externa coordenada. Ao criar uma chave externa coordenada para o Cloud EKM, observe que as versões de chave criadas manualmente não são definidas automaticamente como a versão da chave primária. Para definir como chave primária, consulte Girar uma chave.
Dependendo do parceiro soberano escolhido, talvez seja necessário realizar uma etapa adicional de Gerenciar permissões de parceiro. Nesta etapa, você pode conceder ao parceiro acesso aos seguintes dados:
- Monitoring: inclui permissões para visualizar informações sobre o monitoramento do Assured Workloads da sua pasta. Isso inclui violações de compliance não resolvidas ou resolvidas e exceções concedidas para essas violações.
- Registros de acesso de emergência e Transparência no acesso: inclui permissões para visualizar os registros de acesso de emergência e de Transparência no acesso da sua pasta.
- Detalhes do caso de suporte da Transparência no acesso: inclui permissões para incluir mais detalhes do caso de suporte usados como um motivo de acesso nos registros da Transparência no acesso da sua pasta. A permissão para registros de acesso de emergência e Transparência no acesso é necessária para que essa permissão entre em vigor.
- Informações de aprovação de acesso: inclui permissões para visualizar os registros de aprovação de acesso da sua pasta.
Para mais informações sobre como essas permissões são concedidas ou revogadas, consulte a seção Permissões de parceiro.
Depois de fazer as seleções, clique em Próxima.
Na etapa Revisar e criar pasta, confira os detalhes da nova pasta de controles de soberania dos parceiros e verifique se eles estão corretos. Em seguida, clique em Criar pasta.

Depois de concluir essas etapas, o Sovereign Controls by Partners vai criar os seguintes recursos:

Uma pasta de Controles de Soberania Oferecidos por Parceiros, que aplica controles de segurança em produtos compatíveis Google Cloud para aderir à oferta do parceiro. Esses controles incluem a definição de uma política da organização que restringe o uso de recursos apenas aos produtos compatíveis e permite a criação ou o uso de recursos somente em locais permitidos.
Um projeto de CMEK que contém o keyring configurado.
Observação: a criação de pastas não cria chaves automaticamente. Depois de criar a pasta, é necessário criar uma chave de criptografia antes de adicionar recursos.

Permissões do parceiro

Se você conceder ao parceiro acesso ao monitoramento do Assured Workloads e aos dados do histórico de acesso, poderá revogar esse acesso a qualquer momento. Para conceder ou revogar o acesso a todos os tipos de dados, siga estas etapas:

No console Google Cloud , acesse a página Assured Workloads.

Acesse o Assured Workloads
Clique no nome da pasta "Controles soberanos por parceiros" para conferir os detalhes dela.
Na página Detalhes da pasta do Assured Workloads, clique no botão Configurar permissões do parceiro na seção info Permissões do parceiro.
No painel Configurar permissões do parceiro, marque as caixas de seleção para conceder ou revogar a permissão de cada tipo de dado e clique em Salvar.

O acesso do parceiro a esses dados será concedido ou revogado dependendo das suas seleções.

Monitoramento

Para permitir que um parceiro acesse os dados de monitoramento do Assured Workloads da sua pasta, uma função do Identity and Access Management (IAM) é concedida ao agente de serviço do Cloud Controls Partner. Assim como todos os agentes de serviço, o agente de serviço do Cloud Controls Partner atua em nome dos controles de soberania por parceiros. Ele fica visível na política do IAM da pasta "Controles soberanos por parceiros" e usa o seguinte formato de e-mail, em que FOLDER_ID é o ID dessa pasta:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

O agente de serviço recebe o papel do IAM Agente de serviço de monitoramento do Cloud Controls Partner (roles/cloudcontrolspartner.monitoringServiceAgent) na sua pasta. Consulte a referência do IAM para mais informações sobre esse papel e as permissões dele.

Próximas etapas

Saiba como configurar o KMS gerenciado pelo parceiro.