创建由合作伙伴管理的文件夹

本页将指导您为 Sovereign Controls by Partners 创建新文件夹。您必须先创建此文件夹，然后才能创建任何打算与 Sovereign Controls by Partners 搭配使用的其他资源。

准备工作

在创建新文件夹之前，请确保您已完成以下操作：

已完成 Google Cloud 的加入流程，并收到一封电子邮件，其中指示您创建由合作伙伴管理的文件夹。
如果您的组织强制执行 iam.allowedPolicyMemberDomains 组织政策限制，您必须先允许以下额外的网域 ID，然后才能创建“合作伙伴主权控制”文件夹：
- 合作伙伴的 Google Cloud 组织 ID 或 Google Workspace 客户 ID
- Google 的客户 ID，即 C02h8e9nw
通过允许这些 ID，您的合作伙伴和 Google 可以根据需要授予您组织中的 IAM 角色，以便管理您的工作负载。如果您的合作伙伴在初始配置过程中未提供其组织 ID 或客户 ID，请向其索取。如果您尝试在允许这些 ID 之前创建文件夹，则操作会失败，并显示以下错误：One or more users named in the policy do not belong to a permitted customer.

如需详细了解如何更新 iam.allowedPolicyMemberDomains 限制条件，请参阅按网域限制身份页面。
确保您了解合作伙伴提供的数据边界的相关限制。

创建新文件夹

在 Google Cloud 控制台中，前往 Assured Workloads 页面。
前往 Assured Workloads
如果出现提示，请选择您的组织。
点击 CREATE（创建）前往创建 Assured Workloads 文件夹页面。
注意：Sovereign Controls by Partners 是一项 Assured Workloads 产品，具有类似的功能和特性。
在添加文件夹详细信息步骤中，执行以下操作：
- 在文件夹名称中，输入文件夹的唯一名称，例如 aw-my-folder-name。文件夹名称的长度必须介于 4 到 30 个字符之间，并且只能包含字母、数字、空格和连字符。
  提示：为 Sovereign Controls by Partners 中的 Assured Workloads 文件夹命名时，请考虑以下事项：
  - 如需将文件夹标识为 Assured Workloads 文件夹，请在其名称中添加前缀（例如 aw-）。此标识符可帮助您从其他资源列表中找到该文件夹。如果您有现有的 Assured Workloads 文件夹，请考虑使用其他命名惯例，以便将“合作伙伴主权控制”文件夹与这些文件夹区分开来。
  - 请勿在文件夹名称中包含敏感数据或个人身份信息 (PII)。
- 在组织中，选择要在其中创建文件夹的组织。此位置以后无法更改。
- 在文件夹位置中，选择要在资源层次结构中创建文件夹的位置。Sovereign Controls by Partners 文件夹可以作为组织或其他文件夹的子级创建。
- 点击下一步。
在选择控制措施套餐选项步骤中，选择主权控制措施。
从下拉菜单中选择合作伙伴管理的解决方案。
如果您的合作伙伴为您创建了子结算账号，请选择该子结算账号。
在选择资源位置中，选择文件夹的组织政策将强制执行资源创建和使用的位置。
查看所选内容的详细信息，然后点击下一步。
在用于配置其他设置的步骤中，您必须为客户管理的加密密钥 (CMEK) 创建新的项目和密钥环。在此步骤中，系统不会创建任何密钥，因为合作伙伴主权控制功能不会自动为您创建任何加密密钥。
注意：创建密钥管理项目后，请完成相关步骤以创建协同外部密钥。为 Cloud EKM 创建协调的外部密钥时，请注意手动创建的密钥版本不会自动设置为主密钥版本。如需将其设置为主密钥，请参阅轮替密钥。
根据您选择的主权合作伙伴，您可能需要执行额外的管理合作伙伴权限步骤。在此步骤中，您可以选择向合作伙伴授予对以下数据的访问权限：
- 监控：此权限包括查看有关您文件夹的 Assured Workloads 监控信息的权限。这包括所有未解决或已解决的违规问题，以及您针对这些违规问题授予的所有例外情况。
- Access Transparency 和紧急访问日志：包括查看文件夹的 Access Transparency 日志和紧急访问日志的权限。
- Access Transparency 支持请求详情：此权限可用于在 Access Transparency 日志中添加其他支持请求详情，作为相应文件夹的访问原因。需要 Access Transparency 和紧急访问日志权限，此权限才能生效。
- Access Approval 信息：包括查看文件夹的 Access Approval 日志的权限。
如需详细了解如何授予或撤消这些权限，请参阅合作伙伴权限部分。
完成选择后，点击下一步。
在检查并创建文件夹这一步中，查看有关新的 Sovereign Controls by Partners 文件夹的详细信息，并确保它们正确无误。然后，点击创建文件夹。

完成这些步骤后，合作伙伴的自主控制功能会创建以下资源：

一个“Sovereign Controls by Partners”文件夹，用于对受支持 Google Cloud 的产品强制执行安全控制，以符合合作伙伴的方案。这些控制措施包括设置组织政策，以将资源使用限制为仅限受支持的产品，并仅允许在允许的位置创建或使用资源。
包含已配置的 CMEK 密钥环的 CMEK 项目。
注意：文件夹创建操作不会自动为您创建密钥。创建文件夹后，您必须先创建加密密钥，然后才能添加任何资源。

合作伙伴权限

如果您选择向合作伙伴授予对 Assured Workloads 监控和访问历史记录数据的访问权限，则可以随时撤消此权限。如需授予或撤消对所有类型数据的访问权限，请完成以下步骤：

在 Google Cloud 控制台中，前往 Assured Workloads 页面。

转到 Assured Workloads
点击“合作伙伴主权控制”文件夹的名称，以查看该文件夹的详细信息。
在 Assured Workloads 文件夹详情页面中，点击信息 合作伙伴权限部分中的配置合作伙伴权限按钮。
在配置合作伙伴权限面板中，选中相应复选框以授予或撤消每种类型的数据的权限，然后点击保存。

系统会根据您的选择授予或撤消合作伙伴对这些数据的访问权限。

监控

如需允许合作伙伴访问您文件夹的 Assured Workloads 监控数据，请向 Cloud Controls Partner 服务代理授予 Identity and Access Management (IAM) 角色。与所有服务代理一样，Cloud Controls Partner Service Agent 代表 Sovereign Controls by Partners 执行操作。它会显示在“合作伙伴主权控制”文件夹的 IAM 政策中，并使用以下电子邮件地址格式，其中 FOLDER_ID 是相应文件夹的 ID：

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

系统会向服务代理授予您文件夹的 Cloud Controls Partner Monitoring Service Agent (roles/cloudcontrolspartner.monitoringServiceAgent) IAM 角色。如需详细了解此角色及其权限，请参阅 IAM 参考。

后续步骤

了解如何配置合作伙伴管理的 KMS