Creare una cartella gestita dal partner

Questa pagina ti guida nella creazione di una nuova cartella per Sovereign Controls by Partners. Devi creare questa cartella prima di creare qualsiasi altra risorsa destinata all'uso con Sovereign Controls by Partners.

Prima di iniziare

Prima di poter creare una nuova cartella, assicurati di aver:

Hai completato l'onboarding su Google Cloud e hai ricevuto un'email con le istruzioni per creare una cartella gestita dal partner.
Se la tua organizzazione applica il vincolo della policy dell'organizzazione iam.allowedPolicyMemberDomains, devi consentire i seguenti ID dominio aggiuntivi prima di creare la cartella Sovereign Controls by Partners:
- L' Google Cloud ID organizzazione o l'ID cliente Google Workspace del partner
- L'ID cliente di Google, ovvero C02h8e9nw
Consentendo questi ID, il partner e Google possono concedere ruoli IAM nella tua organizzazione in base alle necessità per gestire i tuoi workload. Se il tuo partner non ha fornito l'ID organizzazione o l'ID cliente durante la procedura di onboarding, richiedilo. Se tenti di creare una cartella prima di consentire questi ID, l'operazione non va a buon fine e viene visualizzato il seguente errore: One or more users named in the policy do not belong to a permitted customer.

Per ulteriori informazioni sull'aggiornamento del vincolo iam.allowedPolicyMemberDomains, consulta la pagina Limitazione delle identità per dominio.
Assicurati di comprendere le restrizioni e le limitazioni associate al confine dei dati offerto dal partner.

Creare una nuova cartella

Nella console Google Cloud , vai alla pagina Assured Workloads.
Vai ad Assured Workloads
Se richiesto, seleziona la tua organizzazione.
Fai clic su CREA per andare alla pagina Crea una cartella Assured Workloads.
Nota:i controlli di sovranità dei partner sono un'offerta di Assured Workloads e condividono funzionalità simili.
Nel passaggio per aggiungere i dettagli della cartella:
- In Nome cartella, inserisci un nome univoco per la cartella, ad esempio aw-my-folder-name. Il nome della cartella deve contenere un minimo di 4 e un massimo di 30 caratteri e può contenere solo lettere, numeri, spazi e trattini.
  Suggerimento:quando assegni un nome alle cartelle di Assured Workloads per Sovereign Controls by Partners, tieni presente quanto segue:
  - Per identificare la cartella come cartella Assured Workloads, includi un prefisso nel nome (ad esempio aw-). Questo identificatore può aiutarti a individuare la cartella da un elenco di altre risorse. Se hai cartelle Assured Workloads esistenti, valuta la possibilità di utilizzare un'altra convenzione di denominazione per distinguere la cartella Controlli sovrani dei partner dalle altre.
  - Non includere dati sensibili o informazioni che consentono l'identificazione personale (PII) nel nome della cartella.
- In Organizzazione, seleziona l'organizzazione in cui creare la cartella. Questa posizione non può essere modificata in un secondo momento.
- In Posizione cartella, seleziona la posizione nella gerarchia delle risorse in cui verrà creata la cartella. Una cartella Controlli di Sovranità dai Partner può essere creata come figlio di un'organizzazione o di un'altra cartella.
- Fai clic su Avanti.
Nel passaggio Scegli un'opzione per il pacchetto di controlli, seleziona Controlli di sovranità.
Seleziona la soluzione gestita dal partner dal menu a discesa.
Seleziona un subaccount di fatturazione se il tuo partner ne ha creato uno per te.
In Seleziona la località della risorsa, scegli la località in cui la creazione e l'utilizzo delle risorse verranno applicati dal criterio dell'organizzazione della cartella.
Controlla i dettagli delle tue selezioni e fai clic su Avanti.
Nel passaggio per configurare impostazioni aggiuntive, devi creare un nuovo progetto e un keyring per le tue chiavi di crittografia gestite dal cliente (CMEK). In questo passaggio non vengono create chiavi, poiché Sovereign Controls by Partners non crea automaticamente chiavi di crittografia per te.
Nota: una volta creato il progetto di gestione delle chiavi, completa i passaggi per creare una chiave esterna coordinata. Quando crei una chiave esterna coordinata per Cloud EKM, tieni presente che le versioni delle chiavi create manualmente non vengono impostate automaticamente come versione della chiave primaria. Per impostarla come chiave primaria, vedi Ruotare una chiave.
A seconda del partner sovrano che hai scelto, potresti avere un ulteriore passaggio Gestisci autorizzazioni partner. In questo passaggio, puoi scegliere di concedere al partner l'accesso ai seguenti dati:
- Monitoraggio: include le autorizzazioni per visualizzare le informazioni sul monitoraggio di Assured Workloads relative alla tua cartella. Sono incluse eventuali violazioni della conformità risolte o non risolte e le eventuali eccezioni che hai concesso per queste violazioni.
- Log di Access Transparency e accesso di emergenza: include le autorizzazioni per visualizzare i log di Access Transparency e i log degli accessi di emergenza per la tua cartella.
- Dettagli della richiesta di assistenza per Access Transparency: include le autorizzazioni per includere ulteriori dettagli della richiesta di assistenza utilizzati come motivo di accesso nei log di Access Transparency per la tua cartella. Perché questa autorizzazione abbia effetto, è necessaria l'autorizzazione per i log di Access Transparency e accesso di emergenza.
- Informazioni sugli accessi approvati: include le autorizzazioni per visualizzare i log degli accessi approvati per la tua cartella.
Per ulteriori informazioni su come vengono concesse o revocate queste autorizzazioni, consulta la sezione Autorizzazioni partner.
Dopo aver effettuato le selezioni, fai clic su Avanti.
Nel passaggio Rivedi e crea cartella, esamina i dettagli della nuova cartella Controlli di Sovranità dai Partner e assicurati che siano corretti. Quindi, fai clic su Crea cartella.

Dopo aver completato questi passaggi, Sovereign Controls by Partners crea le seguenti risorse:

Una cartella Controlli di sovranità dei partner, che applica i controlli di sicurezza sui prodotti supportati Google Cloud per rispettare l'offerta del partner. Questi controlli includono l'impostazione di una policy dell'organizzazione che limita l'utilizzo delle risorse solo ai prodotti supportati e consente di creare o utilizzare risorse solo nelle località consentite.
Un progetto CMEK che contiene il portachiavi CMEK configurato.
Nota: la creazione di cartelle non crea automaticamente chiavi per te. Dopo aver creato la cartella, devi creare una chiave di crittografia prima di aggiungere risorse.

Autorizzazioni partner

Se scegli di concedere al tuo partner l'accesso al monitoraggio di Assured Workloads e ai dati della cronologia degli accessi, puoi revocare questo accesso in qualsiasi momento. Per concedere o revocare l'accesso a tutti i tipi di dati, completa i seguenti passaggi:

Nella console Google Cloud , vai alla pagina Assured Workloads.

Vai ad Assured Workloads
Fai clic sul nome della cartella Sovereign Controls by Partners per visualizzarne i dettagli.
Nella pagina Dettagli cartella Assured Workloads, fai clic sul pulsante Configura autorizzazioni partner nella sezione info Autorizzazioni partner.
Nel riquadro Configura autorizzazioni partner, seleziona le caselle di controllo per concedere o revocare l'autorizzazione per ogni tipo di dati, poi fai clic su Salva.

L'accesso del partner a questi dati verrà concesso o revocato a seconda delle tue selezioni.

Monitoraggio

Per consentire al partner di accedere ai dati di monitoraggio di Assured Workloads della tua cartella, viene concesso un ruolo Identity and Access Management (IAM) all'agente di servizio Cloud Controls Partner. Come tutti i service agent, il service agent Cloud Controls Partner agisce per conto di Sovereign Controls by Partners. È visibile nel criterio IAM per la cartella Sovereign Controls by Partners e utilizza il seguente formato email, dove FOLDER_ID è l'ID della cartella:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

Al service agent viene concesso il ruolo IAM Cloud Controls Partner Monitoring Service Agent (roles/cloudcontrolspartner.monitoringServiceAgent) nella tua cartella. Per saperne di più su questo ruolo e sulle relative autorizzazioni, consulta il riferimento IAM.

Passaggi successivi

Scopri come configurare KMS gestito dal partner