Halaman ini diterjemahkan oleh Cloud Translation API.

Menetapkan kebijakan Key Access Justifications default

Halaman ini menunjukkan cara mengonfigurasi kebijakan Pembenaran Akses Kunci default untuk Assured Workloads. Anda dapat menetapkan kebijakan Key Access Justifications default untuk organisasi, folder, atau project. Kebijakan Key Access Justifications default akan otomatis diterapkan ke kunci baru yang dibuat dalam resource tersebut, kecuali jika kebijakan Key Access Justifications ditetapkan pada kunci saat dibuat. Kebijakan Default Key Access Justifications tidak diterapkan ke kunci yang ada.

Sebelum memulai

Kemampuan untuk menetapkan kebijakan Alasan Akses Kunci default untuk kunci Cloud KMS hanya tersedia untuk paket kontrol Region Jepang di Assured Workloads.

Izin IAM yang diperlukan

Untuk mendapatkan izin yang diperlukan untuk membuat dan mengelola kebijakan Pembenaran Akses Kunci default, minta administrator untuk memberi Anda peran IAM Admin Konfigurasi Kebijakan Pembenaran Akses Kunci (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin) di organisasi, folder, atau project yang berisi kunci. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk membuat dan mengelola kebijakan Default Key Access Justifications. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk membuat dan mengelola kebijakan Alasan Akses Kunci default:

cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Menetapkan kebijakan Key Access Justifications default

REST

Buat atau perbarui kebijakan Key Access Justifications default di organisasi menggunakan metode organizations.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

ORGANIZATION_ID: ID organisasi yang ingin Anda tetapkan kebijakan Alasan Akses Kunci defaultnya.
POLICY: kebijakan Alasan Akses Kunci yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan pembenaran, lihat kode pembenaran.

Buat atau perbarui kebijakan Key Access Justifications default pada folder menggunakan metode folders.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

FOLDER_ID: ID folder yang ingin Anda tetapkan kebijakan Default Key Access Justifications-nya.
POLICY: kebijakan Alasan Akses Kunci yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan pembenaran, lihat kode pembenaran.

Buat atau perbarui kebijakan Key Access Justifications default di project menggunakan metode projects.updateKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
  --request "PATCH" \
  --header "authorization: Bearer TOKEN" \
  --header "content-type: application/json" \
  --data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'

Ganti kode berikut:

PROJECT_ID: ID project yang ingin Anda tetapkan kebijakan Default Key Access Justifications-nya.
POLICY: kebijakan Alasan Akses Kunci yang mencantumkan allowedAccessReasons yang diizinkan, diformat sebagai objek JSON—misalnya, {"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Untuk mengetahui daftar kemungkinan alasan pembenaran, lihat kode pembenaran.

Mendapatkan kebijakan Key Access Justifications default

REST

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di organisasi menggunakan metode organizations.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"

Ganti ORGANIZATION_ID dengan ID organisasi yang ingin Anda dapatkan kebijakan default Pembenaran Akses Kunci-nya.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di folder menggunakan metode folders.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"

Ganti FOLDER_ID dengan ID folder yang ingin Anda gunakan untuk mendapatkan kebijakan default Pembenaran Akses Kunci.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "folders/FOLDER_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Dapatkan metadata tentang kebijakan Key Access Justifications default yang ada di project menggunakan metode projects.getKajPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan Key Access Justifications defaultnya.

Responsnya mirip dengan hal berikut ini:

{
  "name" : "project/PROJECT_ID/kajPolicyConfig"
  "defaultKeyAccessJustificationPolicy": {
    "allowedAccessReasons": [
      "CUSTOMER_INITIATED_ACCESS",
      "GOOGLE_INITIATED_SYSTEM_OPERATION"
    ]
  }
}

Mendapatkan kebijakan Key Access Justifications default yang efektif di project

Project mewarisi kebijakan default dari ancestor terdekatnya. Jika ada beberapa kebijakan default yang ditetapkan pada ancestor satu project, Anda dapat memperoleh kebijakan efektif untuk project tersebut guna melihat kebijakan yang diterapkan pada kunci Cloud KMS baru yang dibuat dalam project tersebut.

REST

Dapatkan metadata tentang kebijakan Key Access Justifications default yang efektif di project menggunakan metode projects.showEffectiveKeyAccessJustificationsPolicyConfig:

curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"

Ganti PROJECT_ID dengan ID project yang ingin Anda dapatkan kebijakan default efektif untuk Alasan Akses Kunci.

Responsnya mirip dengan hal berikut ini:

{
  "effectiveKajPolicy" : {
    "name" : "folders/FOLDER_ID/kajPolicyConfig"
    "defaultKeyAccessJustificationPolicy": {
      "allowedAccessReasons": [
        "CUSTOMER_INITIATED_ACCESS",
        "GOOGLE_INITIATED_SYSTEM_OPERATION"
      ]
    }
  }
}

Langkah berikutnya

Anda juga dapat menetapkan kebijakan Key Access Justifications pada setiap kunci.