Definir a política Justificativas de acesso às chaves chaves
Nesta página, mostramos como configurar políticas Justificativas de acesso às chaves à chave para Assured Workloads. É possível definir uma política Justificativas de acesso às chaves chave para uma organização, pasta ou projeto. A política padrão de justificativas de acesso à chave é aplicada automaticamente a novas chaves criadas nesse recurso, a menos que uma política das Justificativas de acesso às chaves seja definida na chave quando ela é criada. As políticas padrão de justificativas de acesso à chave não são aplicadas às chaves atuais.
Antes de começar
- A capacidade de definir políticas Justificativas de acesso às chaves à chave para chaves do Cloud KMS está disponível apenas para o pacote de controle de regiões do Japão em Assured Workloads.
Permissões do IAM obrigatórias
Para receber as permissões necessárias para criar e gerenciar políticas Justificativas de acesso às chaves à chave,
peça ao administrador para conceder a você o
papel do IAM de Administrador da configuração da política de justificativas de acesso à chave (roles/cloudkms.keyAccessJustificationsPolicyConfigAdmin)
na organização, pasta ou projeto que contém a chave.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para criar e gerenciar políticas Justificativas de acesso às chaves à chave. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para criar e gerenciar políticas Justificativas de acesso às chaves chave:
-
cloudkms.keyAccessJustificationsConfig.getKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.updateKeyAccessJustificationsPolicyConfig -
cloudkms.keyAccessJustificationsConfig.showEffectiveKeyAccessJustificationsPolicyConfig
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Definir uma política Justificativas de acesso às chaves chaves
REST
Crie ou atualize uma política padrão de justificativas de acesso às chaves em uma organização
usando o método
organizations.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "organizations/ORGANIZATION_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
ORGANIZATION_ID: o ID da organização para a qual você quer definir a política Justificativas de acesso às chaves chave.POLICY: a política das Justificativas de acesso às chaves que lista asallowedAccessReasonspermitidas, formatadas como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte os códigos de justificativa.
Crie ou atualize uma política padrão de justificativa de acesso às chaves em uma pasta usando o método
folders.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "folders/FOLDER_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
FOLDER_ID: o ID da pasta em que você quer definir a política Justificativas de acesso às chaves chave.POLICY: a política das Justificativas de acesso às chaves que lista asallowedAccessReasonspermitidas, formatadas como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte os códigos de justificativa.
Crie ou atualize uma política Justificativas de acesso às chaves às chaves em um projeto usando o método
projects.updateKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig?updateMask=defaultKeyAccessJustificationPolicy" \
--request "PATCH" \
--header "authorization: Bearer TOKEN" \
--header "content-type: application/json" \
--data '{"name": "projects/PROJECT_ID/kajPolicyConfig", "defaultKeyAccessJustificationPolicy": POLICY}'
Substitua:
PROJECT_ID: o ID do projeto em que você quer definir a política Justificativas de acesso às chaves à chave.POLICY: a política das Justificativas de acesso às chaves que lista asallowedAccessReasonspermitidas, formatadas como um objeto JSON. Por exemplo,{"allowedAccessReasons": ["CUSTOMER_INITIATED_ACCESS", "GOOGLE_INITIATED_SYSTEM_OPERATION"]}. Para uma lista de possíveis motivos de justificativa, consulte os códigos de justificativa.
Receber uma política padrão de justificativas de acesso às chaves
REST
Receba metadados sobre a política padrão de justificativas de acesso às chaves em uma organização usando o método organizations.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/organizations/ORGANIZATION_ID/kajPolicyConfig"
Substitua ORGANIZATION_ID pelo ID da organização para
que você quer receber a política Justificativas de acesso às chaves chave.
A resposta é semelhante a:
{
"name" : "organizations/ORGANIZATION_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Receba metadados sobre a política padrão de justificativas de acesso às chaves em uma
pasta usando o método
folders.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/folders/FOLDER_ID/kajPolicyConfig"
Substitua FOLDER_ID pelo ID da pasta para que você quer
receber a política Justificativas de acesso às chaves chave.
A resposta é semelhante a:
{
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Receba metadados sobre a política Justificativas de acesso às chaves às chaves em um projeto usando o método projects.getKajPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID/kajPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual você
quer receber a política Justificativas de acesso às chaves chave.
A resposta é semelhante a:
{
"name" : "project/PROJECT_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
Receber a política padrão efetiva de justificativas de acesso às chaves em um projeto
Os projetos herdam a política padrão do ancestral mais próximo. Se houver várias políticas padrão definidas em ancestrais de um único projeto, você poderá acessar a política efetiva do projeto para ver qual política é aplicada às novas chaves do Cloud KMS criadas nele.
REST
Receba metadados sobre a política padrão efetiva de justificativas de acesso às chaves em um projeto usando o método projects.showEffectiveKeyAccessJustificationsPolicyConfig:
curl "https://cloudkms.googleapis.com/v1/projects/PROJECT_ID:showEffectiveKeyAccessJustificationsPolicyConfig"
Substitua PROJECT_ID pelo ID do projeto para o qual você quer receber a política padrão efetiva das Justificativas de acesso às chaves.
A resposta é semelhante a:
{
"effectiveKajPolicy" : {
"name" : "folders/FOLDER_ID/kajPolicyConfig"
"defaultKeyAccessJustificationPolicy": {
"allowedAccessReasons": [
"CUSTOMER_INITIATED_ACCESS",
"GOOGLE_INITIATED_SYSTEM_OPERATION"
]
}
}
}