Vom Partner verwalteten Ordner erstellen

Auf dieser Seite wird beschrieben, wie Sie einen neuen Ordner für die Steuerung der Datenhoheit durch Partner erstellen. Sie müssen diesen Ordner erstellen, bevor Sie andere Ressourcen erstellen, die für die Verwendung mit Sovereign Controls by Partners vorgesehen sind.

Hinweise

Bevor Sie einen neuen Ordner erstellen können, müssen Sie Folgendes tun:

  • Sie haben das Onboarding für Google Cloud abgeschlossen und eine E‑Mail erhalten, in der Sie aufgefordert werden, einen vom Partner verwalteten Ordner zu erstellen.

  • Wenn in Ihrer Organisation die Organisationsrichtlinienbeschränkung iam.allowedPolicyMemberDomains erzwungen wird, müssen Sie die folgenden zusätzlichen Domain-IDs zulassen, bevor Sie den Ordner „Sovereign Controls by Partners“ erstellen:

    • Die Organisations-ID oder Google Workspace-Kundennummer des Partners Google Cloud
    • Die Kundennummer von Google lautet C02h8e9nw.

    Wenn Sie diese IDs zulassen, können Ihr Partner und Google bei Bedarf IAM-Rollen in Ihrer Organisation zuweisen, um Ihre Arbeitslasten zu verwalten. Wenn Ihr Partner seine Organisations-ID oder Kunden-ID während des Onboardings nicht angegeben hat, fordern Sie sie von ihm an. Wenn Sie versuchen, einen Ordner zu erstellen, bevor Sie diese IDs zulassen, schlägt der Vorgang mit dem folgenden Fehler fehl: One or more users named in the policy do not belong to a permitted customer.

    Weitere Informationen zum Aktualisieren der iam.allowedPolicyMemberDomains-Einschränkung finden Sie auf der Seite Identitäten nach Domain einschränken.

  • Machen Sie sich mit den Einschränkungen im Zusammenhang mit der Datenbegrenzung vertraut, die Ihr Partner anbietet.

Neuen Ordner erstellen

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu Assured Workloads

  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
  3. Klicken Sie auf ERSTELLEN, um die Seite Assured Workloads-Ordner erstellen aufzurufen.
  4. Im Schritt Ordnerdetails hinzufügen:
    • Geben Sie unter Ordnername einen eindeutigen Namen für den Ordner ein, z. B. aw-my-folder-name. Der Ordnername muss mindestens 4 und maximal 30 Zeichen lang sein und darf nur Buchstaben, Ziffern, Leerzeichen und Bindestriche enthalten.
    • Wählen Sie unter Organisation die Organisation aus, in der Sie den Ordner erstellen möchten. Dieser Speicherort kann später nicht mehr geändert werden.
    • Wählen Sie unter Ordnerpfad den Speicherort in der Ressourcenhierarchie aus, an dem der Ordner erstellt werden soll. Ein Ordner für die Kontrolle der Datenhoheit durch Partner kann als untergeordnetes Element einer Organisation oder eines anderen Ordners erstellt werden.
    • Klicken Sie auf Weiter.
  5. Wählen Sie im Schritt Option für Kontrollpaket auswählen die Option Sovereign Controls aus.
  6. Wählen Sie im Drop-down-Menü die von Ihrem Partner verwaltete Lösung aus.
  7. Wählen Sie ein untergeordnetes Rechnungskonto aus, sofern Ihr Partner eines für Sie erstellt hat.
  8. Wählen Sie unter Ressourcenstandort auswählen den Standort aus, an dem die Erstellung und Nutzung von Ressourcen durch die Organisationsrichtlinie des Ordners erzwungen werden.
  9. Prüfen Sie die Details zu Ihrer Auswahl und klicken Sie auf Weiter.
  10. Im Schritt Zusätzliche Einstellungen konfigurieren müssen Sie ein neues Projekt und einen neuen Schlüsselbund für Ihre vom Kunden verwalteten Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) erstellen. In diesem Schritt werden keine Schlüssel erstellt, da bei Sovereign Controls by Partners keine kryptografischen Schlüssel automatisch für Sie erstellt werden.
  11. Je nachdem, welchen souveränen Partner Sie ausgewählt haben, müssen Sie möglicherweise einen zusätzlichen Schritt Partnerberechtigungen verwalten ausführen. In diesem Schritt können Sie Ihrem Partner Zugriff auf die folgenden Daten gewähren:
    • Monitoring: Dazu gehören Berechtigungen zum Aufrufen von Assured Workloads-Monitoring-Informationen zu Ihrem Ordner. Dazu gehören alle ungelösten oder gelösten Complianceverstöße sowie alle Ausnahmen, die Sie für diese Verstöße gewährt haben.
    • Access Transparency-Logs und Notfallzugriffslogs: Dazu gehören Berechtigungen zum Aufrufen von Access Transparency-Logs und Notfallzugriffslogs für Ihren Ordner.
    • Details zur Access Transparency-Supportanfrage: Dazu gehören Berechtigungen, um zusätzliche Supportanfrage-Details einzuschließen, die als Zugriffsgrund in Access Transparency-Logs für Ihren Ordner verwendet werden. Damit diese Berechtigung wirksam wird, ist die Berechtigung für Access Transparency-Logs und Notfallzugriffslogs erforderlich.
    • Informationen zur Zugriffsgenehmigung: Dazu gehören Berechtigungen zum Aufrufen von Zugriffsgenehmigungslogs für Ihren Ordner.
    Weitere Informationen dazu, wie diese Berechtigungen erteilt oder widerrufen werden, finden Sie im Abschnitt Partnerberechtigungen.
  12. Nachdem Sie Ihre Auswahl getroffen haben, klicken Sie auf Weiter.
  13. Prüfen Sie im Schritt Ordner überprüfen und erstellen die Details zu Ihrem neuen Ordner für die Kontrolle der Datenhoheit durch Partner und achten Sie darauf, dass sie korrekt sind. Klicken Sie dann auf Ordner erstellen.

Nach Abschluss dieser Schritte werden durch „Kontrolle der Datenhoheit durch Partner“ die folgenden Ressourcen erstellt:

  • Ein Ordner für die Steuerung der Datenhoheit durch Partner, in dem Sicherheitskontrollen für unterstützte Google Cloud Produkte durchgesetzt werden, um die Anforderungen Ihres Partnerangebots zu erfüllen. Zu diesen Kontrollen gehört das Festlegen einer Organisationsrichtlinie, die die Ressourcennutzung auf unterstützte Produkte beschränkt und das Erstellen oder Verwenden von Ressourcen nur an zulässigen Standorten zulässt.
  • Ein CMEK-Projekt, das den konfigurierten CMEK-Schlüsselbund enthält.

Partnerberechtigungen

Wenn Sie Ihrem Partner Zugriff auf Assured Workloads-Monitoring und den Zugriffsverlauf gewähren, können Sie diesen Zugriff jederzeit widerrufen. So gewähren oder entziehen Sie den Zugriff auf alle Arten von Daten:

  1. Rufen Sie in der Google Cloud Console die Seite Assured Workloads auf.

    Zu „Assured Workloads“

  2. Klicken Sie auf den Namen des Ordners „Sovereign Controls by Partners“, um die Details des Ordners aufzurufen.

  3. Klicken Sie auf der Seite Assured Workloads Folder Details (Details zum Assured Workloads-Ordner) im Bereich info Partner permissions (Partnerberechtigungen) auf die Schaltfläche Configure Partner Permissions (Partnerberechtigungen konfigurieren).

  4. Aktivieren oder deaktivieren Sie im Bereich Partnerberechtigungen konfigurieren die Kästchen, um die Berechtigung für die einzelnen Datentypen zu erteilen oder zu widerrufen. Klicken Sie dann auf Speichern.

Der Zugriff Ihres Partners auf diese Daten wird je nach Ihren Einstellungen gewährt oder widerrufen.

Monitoring

Damit Partner auf die Assured Workloads-Monitoringdaten Ihres Ordners zugreifen können, wird dem Cloud Controls Partner Service Agent eine IAM-Rolle (Identity and Access Management) zugewiesen. Wie alle Dienst-Agents handelt der Cloud Controls Partner Service Agent im Namen von Sovereign Controls by Partners. Sie ist in der IAM-Richtlinie für Ihren Ordner „Sovereign Controls by Partners“ sichtbar und verwendet das folgende E‑Mail-Format, wobei FOLDER_ID die ID dieses Ordners ist:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

Dem Dienst-Agent wird die IAM-Rolle Cloud Controls Partner Monitoring Service Agent (roles/cloudcontrolspartner.monitoringServiceAgent) für Ihren Ordner zugewiesen. Weitere Informationen zu dieser Rolle und ihren Berechtigungen finden Sie in der IAM-Referenz.

Nächste Schritte