יצירת תיקייה שמנוהלת על ידי שותף

בדף הזה מוסבר איך ליצור תיקייה חדשה ל-Sovereign Controls by Partners. צריך ליצור את התיקייה הזו לפני שיוצרים משאבים אחרים שמיועדים לשימוש עם Sovereign Controls by Partners.

לפני שמתחילים

לפני שיוצרים תיקייה חדשה, צריך לוודא שביצעתם את הפעולות הבאות:

  • השלמתם את תהליך ההצטרפות אל Google Cloud וקיבלתם אימייל עם הוראות ליצירת תיקייה שמנוהלת על ידי השותף.
  • אם הארגון שלכם אוכף את האילוץ iam.allowedPolicyMemberDomainsמדיניות הארגון, אתם צריכים לאפשר את מזהי הדומיין הנוספים הבאים לפני שתיצרו את התיקייה Sovereign Controls by Partners:

    • מזהה הארגון או מספר הלקוח ב-Google Workspace של השותף Google Cloud
    • מספר הלקוח של Google, שהוא C02h8e9nw

    אם תאפש את המזהים האלה, השותף ו-Google יוכלו להקצות תפקידים ב-IAM בארגון שלך לפי הצורך, כדי לנהל את עומסי העבודה. אם השותף שלכם לא סיפק את מזהה הארגון או את מספר הלקוח שלו במהלך תהליך ההצטרפות, בקשו ממנו לעשות זאת. אם מנסים ליצור תיקייה לפני שמאשרים את המזהים האלה, הפעולה נכשלת ומופיעה השגיאה הבאה: One or more users named in the policy do not belong to a permitted customer.

    מידע נוסף על עדכון ההגבלה iam.allowedPolicyMemberDomains זמין במאמר הגבלת זהויות לפי דומיין.

  • חשוב לוודא שאתם מבינים את ההגבלות שקשורות לגבול הנתונים שהשותף מציע.

יצירת תיקייה חדשה

  1. נכנסים לדף Assured Workloads במסוף Google Cloud .

    כניסה אל Assured Workloads

  2. אם מוצגת בקשה לעשות זאת, בוחרים את הארגון.
  3. לוחצים על CREATE כדי לעבור לדף Create an Assured Workloads folder.
  4. בשלב הוספת פרטי התיקייה:
    • בשדה שם התיקייה, מזינים שם ייחודי לתיקייה, כמו aw-my-folder-name. שם התיקייה צריך להיות באורך של 4 עד 30 תווים, והוא יכול להכיל רק אותיות, מספרים, רווחים ומקפים.
    • בקטע ארגון, בוחרים את הארגון שבו רוצים ליצור את התיקייה. לא ניתן לשנות את המיקום הזה בהמשך.
    • בקטע מיקום התיקייה, בוחרים את המיקום בהיררכיית המשאבים שבו התיקייה תיווצר. אפשר ליצור תיקייה מסוג Sovereign Controls by Partners כצאצא של ארגון או של תיקייה אחרת.
    • לוחצים על הבא.
  5. בשלב Choose a control package option, בוחרים באפשרות Sovereign Controls.
  6. בוחרים את הפתרון שמנוהל על ידי השותף מהתפריט הנפתח.
  7. בוחרים חשבון חיוב משני אם השותף יצר אחד בשבילכם.
  8. בקטע בחירת מיקום משאב, בוחרים את המיקום שבו מדיניות הארגון של התיקייה תאכוף את יצירת המשאבים והשימוש בהם.
  9. בודקים את הפרטים של האפשרויות שנבחרו ולוחצים על הבא.
  10. בשלב Configure additional settings, צריך ליצור פרויקט חדש ואוסף מפתחות בשביל מפתחות הצפנה בניהול הלקוח (CMEK). בשלב הזה לא נוצרים מפתחות, כי Sovereign Controls by Partners לא יוצרת באופן אוטומטי מפתחות קריפטוגרפיים בשבילכם.
  11. בהתאם לשותף הריבוני שבחרתם, יכול להיות שיהיה שלב נוסף של ניהול הרשאות השותף. בשלב הזה, אתם יכולים לבחור להעניק לשותף גישה לנתונים הבאים:
    • מעקב: כולל הרשאות לצפייה במידע על התיקייה בAssured Workloads מעקב. הדבר כולל הפרות של דרישות התאימות שלא נפתרו או שנפתרו, וחריגים שאישרתם להפרות האלה.
    • יומנים של Access Transparency וגישה למקרה חירום: כולל הרשאות לצפייה ביומנים של Access Transparency וגישה למקרה חירום בתיקייה.
    • פרטים על פנייה לתמיכה בנושא Access Transparency: כולל הרשאות לכלול פרטים נוספים על פנייה לתמיכה שמשמשים כסיבת גישה ביומנים של Access Transparency עבור התיקייה שלכם. כדי שההרשאה הזו תיכנס לתוקף, צריך לתת הרשאה ליומני Access Transparency ולגישת חירום.
    • מידע על אישור גישה: כולל הרשאות לצפייה ביומני אישור הגישה של התיקייה.
    מידע נוסף על מתן או ביטול של ההרשאות האלה זמין בקטע הרשאות שותף.
  12. אחרי שבוחרים את האפשרויות הרצויות, לוחצים על הבא.
  13. בשלב בדיקה ויצירה של תיקייה, בודקים את הפרטים של תיקיית Sovereign Controls by Partners החדשה ומוודאים שהם נכונים. לאחר מכן, לוחצים על יצירת תיקייה.

אחרי שמבצעים את השלבים האלה, התכונה Sovereign Controls by Partners יוצרת את המשאבים הבאים:

הרשאות שותף

אם תבחרו להעניק לשותף גישה לניטור של Assured Workloads ולנתוני היסטוריית הגישה, תוכלו לבטל את הגישה הזו בכל שלב. כדי לתת או לבטל גישה לכל סוגי הנתונים, צריך לבצע את הפעולות הבאות:

  1. נכנסים לדף Assured Workloads במסוף Google Cloud .

    כניסה אל Assured Workloads

  2. לוחצים על שם התיקייה Sovereign Controls by Partners כדי לראות את הפרטים שלה.

  3. בדף Assured Workloads Folder Details, לוחצים על הכפתור Configure Partner Permissions בקטע info Partner permissions.

  4. בחלונית הגדרת הרשאות שותף, מסמנים את תיבות הסימון כדי להעניק או לבטל הרשאה לכל סוג נתונים, ואז לוחצים על שמירה.

הגישה של השותף לנתונים האלה תינתן או תישלל בהתאם לבחירות שלכם.

מעקב

כדי לאפשר לשותף גישה לנתוני המעקב של Assured Workloads בתיקייה, מוענק תפקיד לניהול זהויות והרשאות גישה (IAM) לסוכן השירות של Cloud Controls Partner. בדומה לכל סוכני השירות, סוכן השירות של Cloud Controls Partner פועל בשם Sovereign Controls by Partners. היא מופיעה במדיניות IAM של התיקייה Sovereign Controls by Partners, והיא בפורמט האימייל הבא, כאשר FOLDER_ID הוא המזהה של התיקייה:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

לסוכן השירות יינתן התפקיד Cloud Controls Partner Monitoring Service Agent (roles/cloudcontrolspartner.monitoringServiceAgent) ב-IAM בתיקייה שלכם. במאמר הפניה ל-IAM אפשר לקרוא מידע נוסף על התפקיד הזה ועל ההרשאות שלו.

השלבים הבאים