CMEK-Organisationsrichtlinie anwenden

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, die die CMEK-Nutzung in einer Organisation gewährleisten:

  • Mit constraints/gcp.restrictNonCmekServices wird ein CMEK-Schutz erzwungen.
  • Mit constraints/gcp.restrictCmekCryptoKeyProjects wird festgelegt, welche Filestore-Schlüssel für den CMEK-Schutz verwendet werden.

CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Google Cloud-Diensten.

Eine ausführlichere Erläuterung dazu finden Sie unter Google Cloud-Ressourcenhierarchie und CMEK-Organisationsrichtlinien.

CMEK-Nutzung mit Organisationsrichtlinie steuern

Filestore lässt sich in CMEK-Organisationsrichtlinieneinschränkungen einbinden, um Anforderungen für die Verschlüsselungscompliance für Filestore-Ressourcen in Ihrer Organisation anzugeben.

Durch diese Einbindung haben Sie folgende Möglichkeiten:

In den folgenden Abschnitten werden beide Aufgaben behandelt.

CMEKs für alle Filestore-Ressourcen erzwingen

Eine gängige Richtlinie besteht darin, die Verwendung von CMEKs zu erzwingen, um alle Ressourcen in einer Organisation zu schützen. Mit der constraints/gcp.restrictNonCmekServices-Einschränkung können Sie diese Richtlinie in Filestore erzwingen.

Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.

Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictNonCmekServices ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.

  3. Klicken Sie auf Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte den Wert is:file.googleapis.com ein.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:file.googleapis.com

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie verwenden möchten.

  2. Führen Sie den Befehl org-policies set-policy aus: 

      gcloud org-policies set-policy /tmp/policy.yaml

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, eine Instanz oder ein Back-up im Projekt zu erstellen. Der Vorgang schlägt fehl, wenn Sie keinen Cloud KMS-Schlüssel angeben.

Cloud KMS-Schlüssel für ein Filestore-Projekt einschränken

Mit der constraints/gcp.restrictCmekCryptoKeyProjects-Einschränkung können Sie die Cloud KMS-Schlüssel einschränken, mit denen eine Ressource in einem Filestore-Projekt geschützt werden kann.

Sie können eine Regel angeben, z. B. „Für alle Filestore-Ressourcen in projects/my-company-data-project müssen die in diesem Projekt verwendeten Cloud KMS-Schlüssel von projects/my-company-central-keys ODER projects/team-specific-keys stammen“.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictCmekCryptoKeyProjects ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.

  3. Klicken Sie auf Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte Folgendes ein:

    under:projects/KMS_PROJECT_ID

    Ersetzen Sie KMS_PROJECT_ID durch die Projekt-ID, in der sich die zu verwendenden Cloud KMS-Schlüssel befinden.

    Beispiel: under:projects/my-kms-project.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Wobei:

    • PROJECT_ID ist die Projekt-ID des Projekts, das Sie verwenden möchten.
    • KMS_PROJECT_ID ist die Projekt-ID, unter der sich die zu verwendenden Cloud KMS-Schlüssel befinden.

  2. Führen Sie den Befehl „org-policies set-policy“ aus:

      gcloud org-policies set-policy /tmp/policy.yaml

Sie können versuchen, eine Instanz oder Sicherung mit einem Cloud KMS-Schlüssel aus einem anderen Projekt zu erstellen, um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde. Der Vorgang schlägt fehl.

Beschränkungen

Beim Festlegen einer Organisationsrichtlinie gelten die folgenden Einschränkungen.

Verfügbarkeit von CMEK

Zur Erinnerung: Der CMEK-Support ist für die Dienststufen „Basic HDD“ und „Basic SSD“ nicht verfügbar. Wenn Sie eine Organisationsrichtlinie anwenden, die die Verwendung von CMEKs erfordert, und dann versuchen, im zugehörigen Projekt eine Instanz oder ein Back-up der Basisebene zu erstellen, schlagen diese Erstellungsvorgänge fehl.

Vorhandene Ressourcen

Vorhandene Ressourcen unterliegen nicht neu erstellten Organisationsrichtlinien. Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, die für jeden create-Vorgang die Angabe eines CMEK erfordert, wird die Richtlinie nicht rückwirkend auf vorhandene Instanzen und Sicherungsketten angewendet. Auf diese Ressourcen kann weiterhin ohne CMEK zugegriffen werden. Wenn Sie die Richtlinie auf vorhandene Ressourcen anwenden möchten, z. B. auf Instanzen oder Sicherungsketten, müssen Sie sie ersetzen.

Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie

Die Berechtigung zum Festlegen oder Aktualisieren der Organisationsrichtlinie kann zu Testzwecken schwierig besorgbar sein. Sie benötigen die Rolle „Administrator für Organisationsrichtlinien“, die nur auf Organisationsebene gewährt werden kann.

Die Rolle muss zwar auf Organisationsebene zugewiesen werden, es ist jedoch weiterhin möglich, eine Richtlinie anzugeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.

Auswirkung der Cloud KMS-Schlüsselrotation

In Filestore wird der Verschlüsselungsschlüssel einer Ressource nicht automatisch rotiert, wenn der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel rotiert wird.

  • Alle Daten in vorhandenen Instanzen und Sicherungen sind weiterhin durch die Schlüsselversion geschützt, mit der sie erstellt wurden.

  • Alle neu erstellten Instanzen oder Sicherungen verwenden die Primärschlüsselversion, die zum Zeitpunkt der Erstellung angegeben wurde.

Wenn Sie einen Schlüssel rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Wenn Sie Ihre Daten mit der neuesten Schlüsselversion verschlüsseln möchten, müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und die Ressource dann mit der neuen Schlüsselversion neu verschlüsseln. Außerdem werden durch das Rotieren eines Schlüssels vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.

Ausführliche Anleitungen zu diesen Aufgaben finden Sie in den folgenden Anleitungen:

Filestore-Zugriff auf den Cloud KMS-Schlüssel

Ein Cloud KMS-Schlüssel gilt unter folgenden Voraussetzungen als verfügbar und für Filestore zugänglich:

  • Wenn der Schlüssel aktiviert ist
  • Das Filestore-Dienstkonto hat für den Schlüssel Berechtigungen zum Ver- und Entschlüsseln.

Nächste Schritte