Google Cloud ofrece dos restricciones de políticas de la organización para ayudar a garantizar el uso de las CMEK en una organización:
constraints/gcp.restrictNonCmekServices
se usa para requerir protección de las CMEK.constraints/gcp.restrictCmekCryptoKeyProjects
se usa para limitar las claves de Filestore que se usan para la protección de CMEK.
Las políticas de la organización de CMEK solo se aplican a los recursos creados recientemente dentro de los servicios de Google Cloud compatibles.
Para obtener una explicación más detallada de cómo funciona, consulta la Jerarquía de recursos de Google Cloud y las Políticas de la organización de CMEK.
Controla el uso de CMEK con la política de la organización
Filestore se integra a las restricciones de las políticas de la organización con CMEK para que puedas especificar los requisitos de cumplimiento de encriptación para los recursos de Filestore en tu organización.
Esta integración te permite hacer lo siguiente:
En las siguientes secciones, se abordan ambas tareas.
Requerir CMEK para todos los recursos de Filestore
Una política común es requerir que las CMEK se usen para proteger todos los recursos de una organización. Puedes usar la restricción constraints/gcp.restrictNonCmekServices
para aplicar esta política en Filestore.
Si se configura, esta política de la organización causará que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.
Después de establecer esta política, se aplica solo a los recursos nuevos del proyecto. Todos los recursos existentes sin las claves de Cloud KMS establecidas seguirán existiendo y se podrá acceder a ellos sin problemas.
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictNonCmekServices
y, luego, haz clic en Restringir los servicios que pueden crear recursos sin CMEK.Haz clic en
Administrar política.En la página Editar política, selecciona Anular la política del elemento superior.
Selecciona Agregar una regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Rechazar.
En el campo Valores personalizados, ingresa
is:file.googleapis.com
.Haz clic en Listo y, luego, en Establecer política.
gcloud
Crea un archivo temporal
/tmp/policy.yaml
para almacenar la política:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:file.googleapis.com
Reemplaza PROJECT_ID por el ID del proyecto que deseas usar.
Ejecuta el comando
org-policies set-policy
:gcloud org-policies set-policy /tmp/policy.yaml
Para verificar que la política se haya aplicado correctamente, puedes intentar crear una instancia o una copia de seguridad en el proyecto. El proceso falla, a menos que especifiques una clave de Cloud KMS.
Restringe las claves de Cloud KMS de un proyecto de Filestore
Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects
para restringir las claves de Cloud KMS que puedes usar para proteger un recurso en un proyecto de Filestore.
Puedes especificar una regla, por ejemplo, “Para todos los recursos de Filestore en proyectos/my-company-data-project, las claves de Cloud KMS que se usan en este proyecto deben provenir de proyectos/my-company-central-keys O proyectos/team-specific-keys”.
Console
Abre la página Políticas de la organización.
En el campo Filtro, ingresa
constraints/gcp.restrictCmekCryptoKeyProjects
y, luego, haz clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.Haz clic en
Administrar política.En la página Editar política, selecciona Anular la política del elemento superior.
Selecciona Agregar una regla.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Rechazar.
En el campo Valores personalizados, ingresa lo siguiente:
under:projects/KMS_PROJECT_ID
Reemplaza KMS_PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar.
Por ejemplo,
under:projects/my-kms-project
.Haz clic en Listo y, luego, en Establecer política.
gcloud
Crea un archivo temporal
/tmp/policy.yaml
para almacenar la política:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_ID
Aquí:
- PROJECT_ID es el ID del proyecto que deseas usar.
- KMS_PROJECT_ID es el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar.
Ejecuta el comando org-policies set-policy:
gcloud org-policies set-policy /tmp/policy.yaml
Para verificar que la política se haya aplicado correctamente, puedes intentar crear una instancia o una copia de seguridad con una clave de Cloud KMS de un proyecto diferente. El proceso fallará.
Limitaciones
Las siguientes limitaciones se aplican cuando se configura una política de la organización.
Disponibilidad de CMEK
Recuerda que la compatibilidad con CMEK no está disponible para los niveles de servicio básicos de HDD y SSD. Debido a la forma en que se definen estas restricciones, si aplicas una política de la organización que requiere el uso de CMEK y, luego, intentas crear una instancia o una copia de seguridad de nivel básico en el proyecto asociado, esas operaciones de creación fallan.
Recursos existentes
Los recursos existentes no están sujetos a las políticas de la organización recién creadas.
Por ejemplo, si creas una política de organización que requiere que especifiques un CMK para cada operación de create
, la política no se aplica de forma retroactiva a las instancias existentes ni a las cadenas de copias de seguridad. Se puede acceder a esos recursos sin una CMEK. Si deseas aplicar la política a recursos existentes, ya sean instancias o cadenas de copias de seguridad, debes reemplazarlos.
Permisos necesarios para establecer una política de la organización
Es posible que sea difícil adquirir permisos para configurar o actualizar la política de la organización con fines de prueba. Se te debe otorgar el rol de administrador de políticas de la organización, que solo se puede otorgar a nivel de la organización.
Aunque el rol se debe otorgar a nivel de la organización, aún es posible especificar una política que solo se aplique a un proyecto o una carpeta específicos.
Efecto de la rotación de claves de Cloud KMS
Filestore no rota automáticamente la clave de encriptación de un recurso cuando se rota la clave de Cloud KMS asociada a ese recurso.
Todos los datos de las instancias y copias de seguridad existentes siguen protegidos por la versión de clave con la que se crearon.
Las instancias o copias de seguridad recién creadas usan la versión de la clave primaria especificada en el momento de su creación.
Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática. Para encriptar tus datos con la versión de clave más reciente, debes desencriptar la versión de clave anterior del recurso y, luego, volver a encriptar el mismo recurso con la versión de clave nueva. Además, la rotación de una clave no inhabilita ni destruye de forma automática ninguna versión de clave existente.
Para obtener instrucciones detalladas sobre cómo realizar cada una de estas tareas, consulta las siguientes guías:
- Rota una clave
- Cómo desencriptar y volver a encriptar datos
- Habilita y habilita versiones de clave
- Destruye y restablece versiones de claves
Acceso de Filestore a la clave de Cloud KMS
Se considera que una clave de Cloud KMS está disponible y que Filestore puede acceder a ella si se cumplen las siguientes condiciones:
- La clave está habilitada.
- La cuenta de servicio de Filestore tiene permisos de encriptación y desencriptación en la clave.
¿Qué sigue?
- Obtén más información para encriptar una instancia o copia de seguridad de Filestore.
- Obtén información sobre CMEK.
- Obtén información sobre la encriptación en tránsito en Google Cloud.
- Obtén más información sobre las políticas de la organización.
- Obtén más información sobre las políticas de la organización de CMEK.