Configura la política predeterminada de Key Access Justifications
En esta página, se muestra cómo configurar políticas predeterminadas de Key Access Justifications para Assured Workloads. Puedes establecer una política predeterminada de Key Access Justifications para una organización, una carpeta o un proyecto. La política predeterminada de Key Access Justifications se aplica automáticamente a las claves nuevas que se crean en ese recurso, a menos que se establezca una política de Key Access Justifications en la clave cuando se crea. Las políticas predeterminadas de Key Access Justifications no se aplican a las claves existentes.
Antes de comenzar
- La capacidad de establecer políticas predeterminadas de Key Access Justifications para las claves de Cloud KMS solo está disponible para el paquete de controles de regiones de Japón en Assured Workloads.
Permisos de IAM obligatorios
Para obtener los permisos que necesitas para crear y administrar políticas predeterminadas de Key Access Justifications,
pídele a tu administrador que te otorgue el rol de IAM de
Administrador de configuración de políticas de Justificaciones de acceso a la clave (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin)
en la organización, la carpeta o el proyecto que contiene la clave.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene los permisos necesarios para crear y administrar políticas predeterminadas de Key Access Justifications. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear y administrar políticas predeterminadas de Key Access Justifications:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Cómo establecer una política predeterminada de Key Access Justifications
REST
Crea o actualiza una política predeterminada de Key Access Justifications en una organización con el método organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Reemplaza lo siguiente:
ORGANIZATION_ID: Es el ID de la organización para la que deseas establecer la política predeterminada de Key Access Justifications.POLICY: Es la política de Key Access Justifications que enumera losallowedAccessReasonspermitidos, con formato de objeto JSON (por ejemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.
Crea o actualiza una política predeterminada de Key Access Justifications en una carpeta con el método folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Reemplaza lo siguiente:
FOLDER_ID: Es el ID de la carpeta para la que deseas establecer la política predeterminada de Key Access Justifications.POLICY: Es la política de Key Access Justifications que enumera losallowedAccessReasonspermitidos, con formato de objeto JSON (por ejemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.
Crea o actualiza una política predeterminada de Key Access Justifications en un proyecto con el método projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Reemplaza lo siguiente:
PROJECT_ID: Es el ID del proyecto para el que deseas establecer la política predeterminada de Key Access Justifications.POLICY: Es la política de Key Access Justifications que enumera losallowedAccessReasonspermitidos, con formato de objeto JSON (por ejemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}). Para obtener una lista de los posibles motivos de justificación, consulta los códigos de justificación.
Obtén una política predeterminada de Key Access Justifications
REST
Obtén metadatos sobre la política predeterminada existente de Key Access Justifications en una organización con el método organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Reemplaza ORGANIZATION_ID por el ID de la organización para la que deseas obtener la política predeterminada de Key Access Justifications.
La respuesta es similar al ejemplo a continuación:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtén metadatos sobre la política predeterminada existente de Key Access Justifications en una carpeta con el método folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Reemplaza FOLDER_ID por el ID de la carpeta para la que deseas obtener la política predeterminada de Key Access Justifications.
La respuesta es similar al ejemplo a continuación:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtén metadatos sobre la política predeterminada existente de Key Access Justifications en un proyecto con el método projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Reemplaza PROJECT_ID por el ID del proyecto para el que deseas obtener la política predeterminada de Key Access Justifications.
La respuesta es similar al ejemplo a continuación:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Obtén la política predeterminada vigente de Key Access Justifications en un proyecto
Los proyectos heredan la política predeterminada de su ancestro más cercano. Si hay varias políticas predeterminadas establecidas en los ancestros de un solo proyecto, puedes obtener la política vigente del proyecto para ver la política que se aplica a las claves de Cloud KMS nuevas creadas en ese proyecto.
REST
Obtén metadatos sobre la política predeterminada efectiva de Key Access Justifications en un proyecto con el método projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Reemplaza PROJECT_ID por el ID del proyecto para el que deseas obtener la política predeterminada efectiva de Key Access Justifications.
La respuesta es similar al ejemplo a continuación:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}