Definir la política predeterminada de Justificaciones de Acceso a Claves
En esta página se explica cómo configurar políticas de justificación de acceso a claves predeterminadas para Assured Workloads. Puedes definir una política de Justificaciones de Acceso a Claves predeterminada para una organización, una carpeta o un proyecto. La política de justificaciones de acceso a claves predeterminada se aplica automáticamente a las claves nuevas que se crean en ese recurso, a menos que se defina una política de justificaciones de acceso a claves en la clave cuando se cree. Las políticas de justificaciones de acceso a claves predeterminadas no se aplican a las claves que ya existen.
Antes de empezar
- La opción de definir políticas de justificación de acceso a claves predeterminadas para las claves de Cloud KMS solo está disponible en el paquete de controles de las regiones de Japón de Assured Workloads.
Permisos de gestión de identidades y accesos necesarios
Para obtener los permisos que necesitas para crear y gestionar políticas de justificaciones de acceso a claves predeterminadas, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Administrador de configuración de políticas de justificaciones de acceso a claves (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) en la organización, la carpeta o el proyecto que contenga la clave.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear y gestionar políticas de justificación de acceso a claves predeterminadas. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:
Permisos obligatorios
Para crear y gestionar políticas de justificación de acceso a claves predeterminadas, se necesitan los siguientes permisos:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.
Definir una política predeterminada de justificaciones de acceso a claves
REST
Crea o actualiza una política de Justificaciones de Acceso a Claves predeterminada en una organización
con el método
organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Haz los cambios siguientes:
ORGANIZATION_ID: el ID de la organización para la que quieres definir la política predeterminada de justificaciones de acceso a claves.POLICY: la lista de la política de justificaciones de acceso a claves permitidasallowedAccessReasons, con formato de objeto JSON. Por ejemplo:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver una lista de posibles motivos, consulta los códigos de justificación.
Crea o actualiza una política predeterminada de justificaciones de acceso a claves en una carpeta mediante el método
folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Haz los cambios siguientes:
FOLDER_ID: el ID de la carpeta para la que quieres definir la política predeterminada de Key Access Justifications.POLICY: la lista de la política de justificaciones de acceso a claves permitidasallowedAccessReasons, con formato de objeto JSON. Por ejemplo:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver una lista de posibles motivos, consulta los códigos de justificación.
Crea o actualiza una política predeterminada de justificaciones de acceso a claves en un proyecto con el método
projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Haz los cambios siguientes:
PROJECT_ID: el ID del proyecto para el que quieres definir la política predeterminada de Justificaciones de Acceso a Claves.POLICY: la lista de la política de justificaciones de acceso a claves permitidasallowedAccessReasons, con formato de objeto JSON. Por ejemplo:{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para ver una lista de posibles motivos, consulta los códigos de justificación.
Obtener una política predeterminada de Justificaciones de Acceso a Claves
REST
Obtén metadatos sobre la política de justificaciones de acceso a claves predeterminada de una organización mediante el método organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Sustituye ORGANIZATION_ID por el ID de la organización de la que quieras obtener la política predeterminada de justificaciones de acceso a claves.
La respuesta es similar a la siguiente:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtén metadatos sobre la política predeterminada de justificaciones de acceso a claves de una carpeta mediante el método folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Sustituye FOLDER_ID por el ID de la carpeta de la que quieras obtener la política predeterminada de justificaciones de acceso a claves.
La respuesta es similar a la siguiente:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtén metadatos sobre la política de justificaciones de acceso a claves predeterminada de un proyecto mediante el método projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Sustituye PROJECT_ID por el ID del proyecto del que quieras obtener la política de justificaciones de acceso a claves predeterminada.
La respuesta es similar a la siguiente:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtener la política predeterminada de Justificaciones de Acceso a Claves en vigor de un proyecto
Los proyectos heredan la política predeterminada de su ancestro más cercano. Si hay varias políticas predeterminadas definidas en los ancestros de un solo proyecto, puedes obtener la política efectiva del proyecto para ver la política que se aplica a las nuevas claves de Cloud KMS creadas en ese proyecto.
REST
Obtén metadatos sobre la política de justificaciones de acceso a claves predeterminada efectiva de un proyecto mediante el método projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Sustituye PROJECT_ID por el ID del proyecto del que quieras obtener la política predeterminada efectiva de justificaciones de acceso a claves.
La respuesta es similar a la siguiente:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}