Membuat folder yang dikelola partner

Halaman ini akan memandu Anda membuat folder baru untuk Sovereign Controls oleh Partner. Anda harus membuat folder ini sebelum membuat resource lain yang ditujukan untuk digunakan dengan Sovereign Controls oleh Partner.

Sebelum memulai

Sebelum Anda dapat membuat folder baru, pastikan Anda telah melakukan hal berikut:

Menyelesaikan proses orientasi ke Google Cloud dan menerima email yang menginstruksikan Anda untuk membuat folder yang dikelola partner.
Jika organisasi Anda menerapkan batasan kebijakan organisasi iam.allowedPolicyMemberDomains, Anda harus mengizinkan ID domain tambahan berikut sebelum membuat folder Sovereign Controls by Partners:
- ID organisasi atau ID pelanggan Google Workspace partner Google Cloud
- ID pelanggan Google, yaitu C02h8e9nw
Dengan mengizinkan ID ini, partner dan Google dapat memberikan peran IAM di organisasi Anda sesuai kebutuhan untuk mengelola beban kerja Anda. Jika partner Anda belum memberikan ID organisasi atau ID pelanggan selama proses aktivasi, minta ID tersebut dari partner Anda. Jika Anda mencoba membuat folder sebelum mengizinkan ID ini, operasi akan gagal dengan error berikut: One or more users named in the policy do not belong to a permitted customer.

Lihat halaman Membatasi identitas berdasarkan domain untuk mengetahui informasi selengkapnya tentang cara memperbarui batasan iam.allowedPolicyMemberDomains.
Pastikan Anda memahami batasan dan keterbatasan yang terkait dengan batas data yang ditawarkan partner Anda.

Membuat folder baru

Di konsol Google Cloud , buka halaman Assured Workloads.
Buka Assured Workloads
Jika diminta, pilih organisasi Anda.
Klik CREATE untuk membuka halaman Create an Assured Workloads folder.
Catatan: Sovereign Controls by Partners adalah penawaran Assured Workloads, dan memiliki kemampuan serta fitur yang serupa.
Pada langkah untuk Menambahkan detail folder:
- Di Nama folder, masukkan nama unik untuk folder, seperti aw-my-folder-name. Nama folder harus memiliki panjang minimal 4 karakter dan maksimal 30 karakter, serta hanya boleh berisi huruf, angka, spasi, dan tanda hubung.
  Tips: Saat Anda memberi nama folder Assured Workloads untuk Sovereign Controls by Partners, pertimbangkan hal berikut:
  - Untuk mengidentifikasi folder sebagai folder Assured Workloads, sertakan awalan dalam namanya (seperti aw-). Pengidentifikasi ini dapat membantu Anda menemukan folder dari daftar resource lainnya. Jika Anda memiliki folder Assured Workloads yang sudah ada, pertimbangkan untuk menggunakan konvensi penamaan lain untuk membedakan folder Sovereign Controls by Partners dari folder tersebut.
  - Jangan sertakan data sensitif atau informasi identitas pribadi (PII) dalam nama folder.
- Di Organization, pilih organisasi tempat Anda akan membuat folder. Lokasi ini tidak dapat diubah nanti.
- Di Folder location, pilih lokasi di hierarki resource tempat folder akan dibuat. Folder Sovereign Controls by Partners dapat dibuat sebagai turunan dari organisasi atau folder lain.
- Klik Berikutnya.
Pada langkah Pilih opsi paket kontrol, pilih Kontrol Berdaulat.
Pilih solusi yang dikelola partner dari menu drop-down.
Pilih akun sub-penagihan jika partner Anda membuatnya untuk Anda.
Di Pilih lokasi resource, pilih lokasi tempat pembuatan dan penggunaan resource akan diterapkan oleh kebijakan organisasi folder.
Tinjau detail tentang pilihan Anda, lalu klik Berikutnya.
Pada langkah Konfigurasi setelan tambahan, Anda harus membuat project baru dan key ring untuk Kunci Enkripsi yang Dikelola Pelanggan (CMEK). Tidak ada kunci yang dibuat selama langkah ini, karena Kontrol Berdaulat oleh Partner tidak otomatis membuat kunci kriptografis apa pun untuk Anda.
Catatan: Setelah project pengelolaan kunci Anda dibuat, selesaikan langkah-langkah untuk membuat kunci eksternal terkoordinasi. Saat Anda membuat kunci eksternal terkoordinasi untuk Cloud EKM, perhatikan bahwa versi kunci yang dibuat secara manual tidak otomatis ditetapkan sebagai versi kunci utama. Untuk menetapkannya sebagai kunci utama, lihat Merotasi kunci.
Bergantung pada partner berdaulat yang Anda pilih, Anda mungkin harus melakukan langkah tambahan Kelola izin partner. Pada langkah ini, Anda dapat memilih untuk memberikan akses partner ke data berikut:
- Pemantauan: Ini mencakup izin untuk melihat informasi pemantauan Assured Workloads tentang folder Anda. Hal ini mencakup pelanggaran kepatuhan yang belum terselesaikan atau telah terselesaikan, dan pengecualian yang telah Anda berikan untuk pelanggaran tersebut.
- Log Transparansi Akses dan akses darurat: Izin ini mencakup izin untuk melihat log Transparansi Akses dan log akses darurat untuk folder Anda.
- Detail kasus dukungan Transparansi Akses: Ini mencakup izin untuk menyertakan detail kasus dukungan tambahan yang digunakan sebagai alasan akses dalam log Transparansi Akses untuk folder Anda. Izin untuk log Transparansi Akses dan akses darurat diperlukan agar izin ini berlaku.
- Informasi Persetujuan Akses: Izin ini mencakup izin untuk melihat log Persetujuan Akses untuk folder Anda.
Untuk mengetahui informasi selengkapnya tentang cara izin ini diberikan atau dicabut, lihat bagian Izin partner.
Setelah selesai memilih, klik Berikutnya.
Pada langkah Tinjau dan buat folder, tinjau detail tentang folder Sovereign Controls by Partners baru Anda dan pastikan detailnya sudah benar. Kemudian, klik Buat Folder.

Setelah menyelesaikan langkah-langkah ini, Kontrol Berdaulat oleh Partner akan membuat resource berikut:

Folder Sovereign Controls oleh Partner, yang menerapkan kontrol keamanan pada produk yang didukung Google Cloud untuk mematuhi penawaran partner Anda. Kontrol ini mencakup penetapan kebijakan organisasi yang membatasi penggunaan resource hanya untuk produk yang didukung tersebut, dan mengizinkan pembuatan atau penggunaan resource hanya di lokasi yang diizinkan.
Project CMEK yang berisi key ring CMEK yang dikonfigurasi.
Catatan: Pembuatan folder tidak otomatis membuat kunci untuk Anda. Setelah membuat folder, Anda harus membuat kunci enkripsi sebelum menambahkan resource apa pun.

Izin partner

Jika Anda memilih untuk memberi partner akses ke pemantauan Assured Workloads dan data histori akses, Anda dapat mencabut akses ini kapan saja. Untuk memberikan atau mencabut akses untuk semua jenis data, selesaikan langkah-langkah berikut:

Di konsol Google Cloud , buka halaman Assured Workloads.

Buka Assured Workloads
Klik nama folder Sovereign Controls by Partners Anda untuk melihat detail folder.
Dari halaman Assured Workloads Folder Details, klik tombol Configure Partner Permissions di bagian info Partner permissions.
Di panel Konfigurasi izin partner, centang kotak untuk memberi atau mencabut izin untuk setiap jenis data, lalu klik Simpan.

Akses partner Anda ke data ini akan diberikan atau dicabut, bergantung pada pilihan Anda.

Pemantauan

Untuk mengizinkan akses partner ke data pemantauan Assured Workloads folder Anda, peran Identity and Access Management (IAM) diberikan kepada Agen Layanan Partner Kontrol Cloud. Seperti semua agen layanan, Agen Layanan Partner Cloud Controls bertindak atas nama Sovereign Controls oleh Partner. Terlihat dalam kebijakan IAM untuk folder Sovereign Controls by Partners Anda, dan menggunakan format email berikut, dengan FOLDER_ID adalah ID folder tersebut:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

Agen layanan diberi peran IAM Cloud Controls Partner Monitoring Service Agent (roles/cloudcontrolspartner.monitoringServiceAgent) di folder Anda. Lihat referensi IAM untuk mengetahui informasi selengkapnya tentang peran ini dan izinnya.

Langkah berikutnya

Pelajari cara mengonfigurasi KMS yang dikelola partner