Google Cloud ofrece dos restricciones de políticas de la organización para ayudar a garantizar que las CMEK uso en una organización:
constraints/gcp.restrictNonCmekServices
se usa para requerir CMEK. protección.constraints/gcp.restrictCmekCryptoKeyProjects
se usa para limitar qué Las claves de Filestore se usan para la protección de CMEK.
Las políticas de la organización de CMEK solo se aplican a los recursos creados recientemente en servicios de Google Cloud compatibles.
Para obtener una explicación más detallada de cómo funciona, consulta Jerarquía de recursos de Google Cloud y las políticas de la organización de CMEK.
Controla el uso de CMEK con la política de la organización
Filestore se integra a las restricciones de las políticas de la organización con CMEK para que puedas especificar los requisitos de cumplimiento de encriptación para los recursos de Filestore en tu organización.
Esta integración te permite hacer lo siguiente:
En las siguientes secciones, se abordan ambas tareas.
Exige CMEK para todos los recursos de Filestore
Una política común es exigir que se usen CMEK para proteger todos los recursos en un
para que se adapten a
las necesidades de tu organización. Puedes usar el constraints/gcp.restrictNonCmekServices
para aplicar esta política en Filestore.
Si se configura, esta política de la organización causará que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.
Después de establecer esta política, se aplica solo a los recursos nuevos del proyecto. Todos los recursos existentes sin las claves de Cloud KMS establecidas seguirán existiendo y se podrá acceder a ellos sin problemas.
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictNonCmekServices
y, luego, haz clic en Restringir los servicios que pueden crear recursos sin CMEK.Haz clic en
Administrar política.Selecciona Personalizar, selecciona Reemplazar y, luego, haz clic en Agregar regla.
Selecciona Personalizado y luego haz clic en Rechazar.
En el campo Valor personalizado, ingresa
is:file.googleapis.com
.Haz clic en Listo y, luego, en Establecer política.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ deny gcp.restrictNonCmekServices is:file.googleapis.com
Para verificar que la política se haya aplicado correctamente, puedes intentar crear una instancia o una copia de seguridad en el proyecto. El proceso falla a menos que especifiques clave de Cloud KMS.
Restringe las claves de Cloud KMS para un proyecto de Filestore
Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects
para
restringir las claves de Cloud KMS que puedes usar para proteger un recurso en un
Proyecto de Filestore.
Puedes especificar una regla, por ejemplo, “Para todos los recursos de Filestore en proyectos/my-company-data-project, las claves de Cloud KMS que se usan en este proyecto deben provenir de proyectos/my-company-central-keys O proyectos/team-specific-keys”.
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictCmekCryptoKeyProjects
y, luego, haz clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.Haz clic en
Administrar política.Selecciona Personalizar, selecciona Reemplazar y, luego, haz clic en Agregar regla.
Selecciona Personalizado y luego haz clic en Permitir.
En el campo Valor personalizado, ingresa lo siguiente:
under:projects/KMS_PROJECT_ID
Reemplaza lo siguiente:
- KMS_PROJECT_ID con el ID del proyecto en el que se encuentran las claves de Cloud KMS
que deseas usar. Por ejemplo,
under:projects/my-kms-project
- KMS_PROJECT_ID con el ID del proyecto en el que se encuentran las claves de Cloud KMS
que deseas usar. Por ejemplo,
Haz clic en Listo y, luego, en Establecer política.
gcloud
gcloud resource-manager org-policies --project=PROJECT_ID \ allow gcp.restrictCmekCryptoKeyProjects under:projects/KMS_PROJECT_ID
Reemplaza lo siguiente:
- KMS_PROJECT_ID por el ID del proyecto en el que Cloud KMS
las claves que quieres usar. Por ejemplo,
under:projects/my-kms-project
Para verificar que la política se aplicó correctamente, puedes intentar crear una o una copia de seguridad con una clave de Cloud KMS de otro proyecto. El el proceso fallará.
Limitaciones
Las siguientes limitaciones se aplican cuando se configura una política de la organización.
Disponibilidad de CMEK
Recuerda que la compatibilidad con CMEK no está disponible para el HDD básico y el SSD básico niveles de servicio. Dada la forma en que se definen estas restricciones, si aplicas un de la organización que requiere el uso de CMEK y, luego, intenta crear un de nivel básico o una copia de seguridad en el proyecto asociado, se crean fallan.
Recursos existentes
Los recursos existentes no están sujetos a las políticas de la organización creadas recientemente.
Por ejemplo, si creas una política de la organización que requiere que especifiques una
CMEK para cada operación de create
, la política no se aplica de forma retroactiva a
las instancias existentes
y las cadenas de copias de seguridad. Esos recursos todavía son accesibles
sin una CMEK. Si deseas aplicar la política a recursos existentes, ya sean instancias o cadenas de copias de seguridad, debes reemplazarlos.
Permisos necesarios para establecer una política de la organización
Es posible que sea difícil adquirir permisos para configurar o actualizar la política de la organización con fines de prueba. Se te debe otorgar el Función de administrador de políticas de la organización, que solo pueden otorgarse a nivel de la organización.
Aunque el rol se debe otorgar a nivel de la organización, aún es posible especificar una política que solo se aplique a un proyecto o una carpeta específicos.
Efecto de la rotación de claves de Cloud KMS
Filestore no rota automáticamente la clave de encriptación de un recurso cuando se rota la clave de Cloud KMS asociada a ese recurso.
Todos los datos de las instancias y copias de seguridad existentes siguen protegidos por la versión de clave con la que se crearon.
Todas las instancias o copias de seguridad creadas recientemente usan la versión de la clave primaria especificada. en el momento de su creación.
Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se volver a encriptarse automáticamente. Para encriptar tus datos con la versión de clave más reciente, debes desencriptar la versión de clave anterior del recurso y, luego, volver a encriptar el mismo recurso con la versión de clave nueva. Además, rotar una clave no inhabilitar o destruir automáticamente cualquier versión de clave existente.
Para obtener instrucciones detalladas sobre cómo realizar cada una de estas tareas, consulta la las siguientes guías:
- Rota una clave
- Desencripta y vuelve a encriptar datos
- Habilita o inhabilita versiones de clave
- Destruye y restablece versiones de claves
Acceso de Filestore a la clave de Cloud KMS
Una clave de Cloud KMS se considera disponible y accesible Filestore en las siguientes condiciones:
- La clave está habilitada.
- La cuenta de servicio de Filestore tiene las funciones de encriptación y desencriptación permisos en la clave
¿Qué sigue?
- Aprende a encriptar una instancia o una copia de seguridad de Filestore.
- Obtén más información sobre CMEK.
- Obtén más información sobre la encriptación en tránsito en Google Cloud.
- Obtén más información sobre las políticas de la organización.
- Obtén más información sobre las políticas de la organización de CMEK.