Standardrichtlinie für Key Access Justifications festlegen
Auf dieser Seite erfahren Sie, wie Sie Standardrichtlinien für Begründungen für den Schlüsselzugriff für Assured Workloads konfigurieren. Sie können eine Standardrichtlinie für Key Access Justifications für eine Organisation, einen Ordner oder ein Projekt festlegen. Die Standardrichtlinie für Key Access Justifications wird automatisch auf neue Schlüssel angewendet, die in dieser Ressource erstellt werden, sofern beim Erstellen des Schlüssels keine Richtlinie für Key Access Justifications festgelegt ist. Die Standardrichtlinien für Key Access Justifications werden nicht auf vorhandene Schlüssel angewendet.
Hinweise
- Die Möglichkeit, Standardrichtlinien für Key Access Justifications für Cloud KMS-Schlüssel festzulegen, ist nur für das Kontrollpaket für Regionen in Japan in Assured Workloads verfügbar.
Erforderliche IAM-Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) für die Organisation, den Ordner oder das Projekt zuzuweisen, die bzw. das den Schlüssel enthält, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Verwalten von Standardrichtlinien für Begründungen für den Schlüsselzugriff benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigungen, die zum Erstellen und Verwalten von Standardrichtlinien für Key Access Justifications erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um Standardrichtlinien für Key Access Justifications zu erstellen und zu verwalten:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Standardrichtlinie für Key Access Justifications festlegen
REST
So erstellen oder aktualisieren Sie eine Standardrichtlinie für Key Access Justifications für eine Organisation mit der Methode organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Ersetzen Sie Folgendes:
ORGANIZATION_ID: Die ID der Organisation, für die Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.POLICY: Die Richtlinie „Key Access Justifications“ mit einer Liste der zulässigenallowedAccessReasons, formatiert als JSON-Objekt, z. B.{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.
So erstellen oder aktualisieren Sie eine Standardrichtlinie zu Key Access Justifications für einen Ordner mit der Methode folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Ersetzen Sie Folgendes:
FOLDER_ID: Die ID des Ordners, für den Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.POLICY: Die Richtlinie „Key Access Justifications“ mit einer Liste der zulässigenallowedAccessReasons, formatiert als JSON-Objekt, z. B.{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.
So erstellen oder aktualisieren Sie eine Standardrichtlinie zu Key Access Justifications für ein Projekt mit der Methode projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Ersetzen Sie Folgendes:
PROJECT_ID: Die ID des Projekts, für das Sie die Standardrichtlinie für Key Access Justifications festlegen möchten.POLICY: Die Richtlinie „Key Access Justifications“ mit einer Liste der zulässigenallowedAccessReasons, formatiert als JSON-Objekt, z. B.{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Eine Liste möglicher Begründungsgründe finden Sie unter Begründungscodes.
Standardrichtlinie für Key Access Justifications abrufen
REST
Rufen Sie Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für eine Organisation mit der Methode organizations.getKajPolicyConfig ab:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Ersetzen Sie ORGANIZATION_ID durch die ID der Organisation, für die Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.
Die Antwort ähnelt dem folgenden Beispiel.
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Rufen Sie mit der Methode folders.getKajPolicyConfig Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für einen Ordner ab:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Ersetzen Sie FOLDER_ID durch die ID des Ordners, für den Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.
Die Antwort ähnelt dem folgenden Beispiel.
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Rufen Sie Metadaten zur vorhandenen Standardrichtlinie für Key Access Justifications für ein Projekt mit der Methode projects.getKajPolicyConfig ab:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Ersetzen Sie PROJECT_ID durch die ID des Projekts, für das Sie die Standardrichtlinie für Key Access Justifications abrufen möchten.
Die Antwort ähnelt dem folgenden Beispiel.
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Effektive Standardrichtlinie für Key Access Justifications für ein Projekt abrufen
Projekte übernehmen die Standardrichtlinie von ihrem nächstgelegenen Ancestor. Wenn für die übergeordneten Elemente eines einzelnen Projekts mehrere Standardrichtlinien festgelegt sind, können Sie die effektive Richtlinie für das Projekt abrufen, um die Richtlinie zu sehen, die auf neue Cloud KMS-Schlüssel angewendet wird, die in diesem Projekt erstellt werden.
REST
Rufen Sie Metadaten zur effektiven Standardrichtlinie für Key Access Justifications für ein Projekt mit der Methode projects.showEffectiveKeyAccessJustificationsPolicyConfig ab:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Ersetzen Sie PROJECT_ID durch die ID des Projekts, für das Sie die effektive Standardrichtlinie für Key Access Justifications abrufen möchten.
Die Antwort ähnelt dem folgenden Beispiel.
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}