Impostare la policy Key Access Justifications predefinita
Questa pagina mostra come configurare le policy Key Access Justifications predefinite per Assured Workloads. Puoi impostare un criterio Key Access Justifications predefinito per un'organizzazione, una cartella o un progetto. La policy Key Access Justifications predefinita viene applicata automaticamente alle nuove chiavi create all'interno di questa risorsa, a meno che non venga impostata una policy Key Access Justifications sulla chiave al momento della creazione. Le policy Key Access Justifications predefinite non vengono applicate alle chiavi esistenti.
Prima di iniziare
- La possibilità di impostare le policy Key Access Justifications predefinite per le chiavi Cloud KMS è disponibile solo per il pacchetto di controlli delle regioni giapponesi in Assured Workloads.
Autorizzazioni IAM richieste
Per ottenere le autorizzazioni
necessarie per creare e gestire le policy Key Access Justifications predefinite,
chiedi all'amministratore di concederti il
ruolo IAM Key Access Justifications Policy Config Admin (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin)
nell'organizzazione, nella cartella o nel progetto che contiene la chiave.
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Questo ruolo predefinito contiene le autorizzazioni necessarie per creare e gestire le policy Key Access Justifications predefinite. Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per creare e gestire le policy Key Access Justifications predefinite sono necessarie le seguenti autorizzazioni:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Impostare una policy Key Access Justifications predefinita
REST
Crea o aggiorna una policy Key Access Justifications predefinita in un'organizzazione
utilizzando il metodo
organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
ORGANIZATION_ID: l'ID dell'organizzazione per cui vuoi impostare la policy Key Access Justifications predefinita.POLICY: l'elenco delle policy di Key Access Justifications consentiteallowedAccessReasons, formattato come oggetto JSON, ad esempio,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta Codici di giustificazione.
Crea o aggiorna una policy Key Access Justifications predefinita in una cartella utilizzando il metodo
folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
FOLDER_ID: l'ID della cartella per cui vuoi impostare la policy Key Access Justifications predefinita.POLICY: l'elenco delle policy di Key Access Justifications consentiteallowedAccessReasons, formattato come oggetto JSON, ad esempio,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta Codici di giustificazione.
Crea o aggiorna una policy Key Access Justifications predefinita in un progetto utilizzando il metodo
projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Sostituisci quanto segue:
PROJECT_ID: l'ID del progetto per il quale vuoi impostare la policy Key Access Justifications predefinita.POLICY: l'elenco delle policy di Key Access Justifications consentiteallowedAccessReasons, formattato come oggetto JSON, ad esempio,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Per un elenco dei possibili motivi di giustificazione, consulta Codici di giustificazione.
Recuperare una policy Key Access Justifications predefinita
REST
Recupera i metadati relativi alla policy Key Access Justifications predefinita esistente in un'organizzazione utilizzando il metodo organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Sostituisci ORGANIZATION_ID con l'ID dell'organizzazione per cui vuoi ottenere il criterio Key Access Justifications predefinito.
La risposta è simile alla seguente:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Recupera i metadati relativi alla policy Key Access Justifications predefinita esistente in una cartella utilizzando il metodo folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Sostituisci FOLDER_ID con l'ID della cartella per cui vuoi ottenere la policy Key Access Justifications predefinita.
La risposta è simile alla seguente:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Recupera i metadati relativi alla policy Key Access Justifications predefinita esistente in un progetto utilizzando il metodo projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Sostituisci PROJECT_ID con l'ID del progetto per cui vuoi ottenere la policy Key Access Justifications predefinita.
La risposta è simile alla seguente:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Recupera la policy Key Access Justifications predefinita effettiva per un progetto
I progetti ereditano il criterio predefinito dal loro antenato più vicino. Se sono impostate più policy predefinite sugli antenati di un singolo progetto, puoi ottenere la policy effettiva per il progetto per visualizzare la policy applicata alle nuove chiavi Cloud KMS create in quel progetto.
REST
Recupera i metadati relativi alla policy Key Access Justifications predefinita effettiva in un progetto utilizzando il metodo projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Sostituisci PROJECT_ID con l'ID del progetto per cui vuoi ottenere la policy Key Access Justifications predefinita effettiva.
La risposta è simile alla seguente:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}