Créer un dossier géré par un partenaire

Cette page vous guide tout au long de la création d'un dossier pour les contrôles souverains fournis par les partenaires. Vous devez créer ce dossier avant de créer d'autres ressources destinées à être utilisées avec les Contrôles souverains fournis par les partenaires.

Avant de commencer

Avant de créer un dossier, assurez-vous d'avoir effectué les actions suivantes :

Vous avez terminé l'intégration à Google Cloud et reçu un e-mail vous invitant à créer un dossier géré par un partenaire.
Si votre organisation applique la contrainte de règle d'organisation iam.allowedPolicyMemberDomains, vous devez autoriser les ID de domaine supplémentaires suivants avant de créer votre dossier "Sovereign Controls by Partners" :
- ID d'organisation ou numéro client Google Workspace du partenaire Google Cloud
- Le numéro client Google, qui est C02h8e9nw
En autorisant ces ID, votre partenaire et Google peuvent accorder des rôles IAM dans votre organisation si nécessaire pour gérer vos charges de travail. Si votre partenaire n'a pas fourni l'ID de son organisation ou son numéro client lors du processus d'intégration, demandez-le-lui. Si vous tentez de créer un dossier avant d'autoriser ces ID, l'opération échoue et l'erreur suivante s'affiche : One or more users named in the policy do not belong to a permitted customer.

Pour en savoir plus sur la mise à jour de la contrainte iam.allowedPolicyMemberDomains, consultez la page Restreindre les identités par domaine.
Assurez-vous de bien comprendre les restrictions et les limites associées à la limite de données proposée par votre partenaire.

Créez un dossier

Dans la console Google Cloud , accédez à la page Assured Workloads.
Accéder à Assured Workloads
Si vous y êtes invité, sélectionnez votre organisation.
Cliquez sur CRÉER pour accéder à la page Créer un dossier Assured Workloads.
Remarque : Les contrôles souverains fournis par les partenaires sont une offre Assured Workloads. Ils partagent des fonctionnalités similaires.
À l'étape Ajouter des informations sur le dossier :
- Dans Nom du dossier, saisissez un nom unique pour le dossier, par exemple aw-my-folder-name. Le nom du dossier doit comporter entre 4 et 30 caractères, et ne peut contenir que des lettres, des chiffres, des espaces et des traits d'union.
  Conseil : Lorsque vous nommez vos dossiers Assured Workloads pour les contrôles souverains par les partenaires, tenez compte des points suivants :
  - Pour identifier le dossier en tant que dossier Assured Workloads, ajoutez un préfixe dans son nom (par exemple, aw-). Cet identifiant peut vous aider à localiser le dossier dans une liste d'autres ressources. Si vous avez déjà des dossiers Assured Workloads, envisagez d'utiliser une autre convention de dénomination pour différencier votre dossier "Contrôles souverains par les partenaires" de ceux-ci.
  - N'incluez pas de données sensibles ni d'informations permettant d'identifier personnellement l'utilisateur dans le nom du dossier.
- Dans Organisation, sélectionnez l'organisation dans laquelle créer votre dossier. Vous ne pourrez plus modifier cet emplacement par la suite.
- Dans Emplacement du dossier, sélectionnez l'emplacement dans la hiérarchie des ressources où le dossier sera créé. Un dossier "Contrôles souverains fournis par les partenaires" peut être créé en tant qu'enfant d'une organisation ou d'un autre dossier.
- Cliquez sur Suivant.
À l'étape Choisir une option de package de contrôle, sélectionnez Contrôles de souveraineté.
Sélectionnez votre solution gérée par un partenaire dans le menu déroulant.
Sélectionnez un sous-compte de facturation fourni par votre partenaire, le cas échéant.
Dans Sélectionner l'emplacement de la ressource, choisissez l'emplacement où la création et l'utilisation des ressources seront appliquées par la règle d'administration du dossier.
Vérifiez les détails de votre sélection, puis cliquez sur Suivant.
À l'étape Configurer des paramètres supplémentaires, vous devez créer un projet et un trousseau de clés pour vos clés de chiffrement gérées par le client (CMEK). Aucune clé n'est créée lors de cette étape, car Sovereign Controls by Partners ne crée pas automatiquement de clés cryptographiques pour vous.
Remarque : Une fois votre projet de gestion des clés créé, suivez les étapes pour créer une clé externe coordonnée. Lorsque vous créez une clé externe coordonnée pour Cloud EKM, notez que les versions de clé créées manuellement ne sont pas automatiquement définies comme version de clé primaire. Pour la définir comme clé primaire, consultez Effectuer la rotation d'une clé.
Selon le partenaire souverain que vous avez choisi, vous devrez peut-être effectuer une étape supplémentaire Gérer les autorisations des partenaires. À cette étape, vous pouvez choisir d'accorder à votre partenaire l'accès aux données suivantes :
- Surveillance : inclut les autorisations permettant d'afficher les informations de surveillance Assured Workloads concernant votre dossier. Cela inclut les cas de non-respect des règles non résolus ou résolus, ainsi que les exceptions que vous avez accordées pour ces cas.
- Journaux Access Transparency et d'accès d'urgence : inclut les autorisations permettant d'afficher les journaux Access Transparency et les journaux d'accès d'urgence de votre dossier.
- Détails de la demande d'assistance Access Transparency : inclut les autorisations permettant d'inclure des détails supplémentaires sur la demande d'assistance utilisés comme motif d'accès dans les journaux Access Transparency pour votre dossier. L'autorisation concernant les journaux Access Transparency et d'accès d'urgence est requise pour que cette autorisation prenne effet.
- Informations sur l'approbation de l'accès : inclut les autorisations permettant d'afficher les journaux d'approbation de l'accès pour votre dossier.
Pour en savoir plus sur l'octroi ou la révocation de ces autorisations, consultez la section Autorisations des partenaires.
Une fois les sélections effectuées, cliquez sur Suivant.
À l'étape Vérifier et créer un dossier, vérifiez les informations concernant votre nouveau dossier Sovereign Controls by Partners et assurez-vous qu'elles sont correctes. Cliquez ensuite sur Créer un dossier.

Une fois ces étapes terminées, les contrôles de souveraineté des données par les partenaires créent les ressources suivantes :

Un dossier "Contrôles souverains par les partenaires", qui applique des contrôles de sécurité sur les produits compatibles Google Cloud pour respecter votre offre partenaire. Ces contrôles incluent la définition d'une règle d'administration qui restreint l'utilisation des ressources aux seuls produits compatibles et qui autorise la création ou l'utilisation de ressources uniquement dans les emplacements autorisés.
Projet CMEK contenant le trousseau de clés CMEK configuré.
Remarque : La création d'un dossier ne crée pas automatiquement de clés pour vous. Une fois le dossier créé, vous devez créer une clé de chiffrement avant d'ajouter des ressources.

Autorisations du partenaire

Si vous choisissez d'accorder à votre partenaire l'accès aux données de surveillance Assured Workloads et à l'historique des accès, vous pouvez révoquer cet accès à tout moment. Pour accorder ou révoquer l'accès à tous les types de données, procédez comme suit :

Dans la console Google Cloud , accédez à la page Assured Workloads.

Accéder à Assured Workloads
Cliquez sur le nom de votre dossier "Contrôles souverains par les partenaires" pour afficher ses détails.
Sur la page Informations sur le dossier Assured Workloads, cliquez sur le bouton Configurer les autorisations du partenaire dans la section info Autorisations du partenaire.
Dans le panneau Configurer les autorisations des partenaires, cochez les cases pour accorder ou révoquer l'autorisation pour chaque type de données, puis cliquez sur Enregistrer.

L'accès de votre partenaire à ces données sera accordé ou révoqué en fonction de vos sélections.

Surveillance

Pour permettre à un partenaire d'accéder aux données de surveillance Assured Workloads de votre dossier, un rôle Identity and Access Management (IAM) est attribué à l'agent de service partenaire Cloud Controls. Comme tous les agents de service, l'agent de service partenaire Cloud Controls agit au nom des Contrôles souverains fournis par les partenaires. Elle est visible dans la stratégie IAM de votre dossier "Contrôles souverains par les partenaires" et utilise le format d'adresse e-mail suivant, où FOLDER_ID correspond à l'ID de ce dossier :

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

L'agent de service se voit attribuer le rôle IAM Agent de service de surveillance partenaire Cloud Controls (roles/cloudcontrolspartner.monitoringServiceAgent) sur votre dossier. Pour en savoir plus sur ce rôle et ses autorisations, consultez la documentation de référence sur IAM.

Étapes suivantes

Découvrez comment configurer un KMS géré par un partenaire.