Google Cloud oferece duas restrições de políticas da organização para ajudar a garantir a utilização da CMEK numa organização:
- O elemento
constraints/gcp.restrictNonCmekServicesé usado para exigir proteção CMEK. constraints/gcp.restrictCmekCryptoKeyProjectsé usado para limitar as chaves do Filestore que são usadas para a proteção CMEK.
As políticas da organização CMEK aplicam-se apenas a recursos criados recentemente em serviços Google Cloud compatíveis.
Para uma explicação mais detalhada de como funciona, consulte a Google Cloud hierarquia de recursos e as políticas de organização da CMEK.
Controle a utilização da CMEK com a política da organização
O Filestore integra-se com as restrições da política da organização da CMEK para lhe permitir especificar os requisitos de conformidade da encriptação para os recursos do Filestore na sua organização.
Esta integração permite-lhe fazer o seguinte:
As secções seguintes abordam ambas as tarefas.
Exija CMEKs para todos os recursos do Filestore
Uma política comum é exigir que as CMEKs sejam usadas para proteger todos os recursos numa organização. Pode usar a restrição constraints/gcp.restrictNonCmekServices
para aplicar esta política no Filestore.
Se estiver definida, esta política da organização faz com que todos os pedidos de criação de recursos sem uma chave do Cloud KMS especificada falhem.
Depois de definir esta política, aplica-se apenas aos novos recursos no projeto. Todos os recursos existentes sem chaves do Cloud KMS definidas continuam a existir e são acessíveis sem problemas.
Consola
Abra a página Políticas da organização.
No campo Filtro, introduza
constraints/gcp.restrictNonCmekServicese, de seguida, clique em Restrinja os serviços que podem criar recursos sem CMEK.Clique em Gerir política.
Na página Editar política, selecione Substituir política do elemento principal.
Selecione Adicionar uma regra.
Para Valores da política, selecione Personalizado.
Para Tipo de política, selecione Recusar.
No campo Valores personalizados, introduza
is:file.googleapis.com.Clique em Concluído e, de seguida, em Definir política.
gcloud
Crie um ficheiro temporário
/tmp/policy.yamlpara armazenar a política:name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices spec: rules: - values: deniedValues: - is:file.googleapis.comSubstitua PROJECT_ID pelo ID do projeto que quer usar.
Execute o comando
org-policies set-policy:gcloud org-policies set-policy /tmp/policy.yaml
Para verificar se a política foi aplicada com êxito, pode tentar criar uma instância ou uma cópia de segurança no projeto. O processo falha, a menos que especifique uma chave do Cloud KMS.
Restrinja as chaves do Cloud KMS para um projeto do Filestore
Pode usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que pode usar para proteger um recurso num projeto do Filestore.
Pode especificar uma regra, por exemplo, "Para todos os recursos do Filestore em projects/my-company-data-project, as chaves do Cloud KMS usadas neste projeto têm de ser provenientes de projects/my-company-central-keys OU projects/team-specific-keys".
Consola
Abra a página Políticas da organização.
No campo Filtro, introduza
constraints/gcp.restrictCmekCryptoKeyProjectse, de seguida, clique em Restrinja os projetos que podem fornecer CryptoKeys do KMS para CMEK.Clique em Gerir política.
Na página Editar política, selecione Substituir política do elemento principal.
Selecione Adicionar uma regra.
Para Valores da política, selecione Personalizado.
Para Tipo de política, selecione Permitir.
No campo Valores personalizados, introduza o seguinte:
under:projects/KMS_PROJECT_IDSubstitua KMS_PROJECT_ID pelo ID do projeto onde se encontram as chaves do Cloud KMS que quer usar.
Por exemplo,
under:projects/my-kms-project.Clique em Concluído e, de seguida, em Definir política.
gcloud
Crie um ficheiro temporário
/tmp/policy.yamlpara armazenar a política:name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects spec: rules: - values: allowedValues: - under:projects/KMS_PROJECT_IDOnde:
- PROJECT_ID é o ID do projeto que quer usar.
- KMS_PROJECT_ID é o ID do projeto onde se encontram as chaves do Cloud KMS que quer usar.
Execute o comando org-policies set-policy:
gcloud org-policies set-policy /tmp/policy.yaml
Para verificar se a política foi aplicada com êxito, pode tentar criar uma instância ou uma cópia de segurança com uma chave do Cloud KMS de um projeto diferente. O processo vai falhar.
Limitações
Aplicam-se as seguintes limitações quando define uma política da organização.
Disponibilidade das CMEK
Relembramos que o suporte de CMEK não está disponível para os níveis de serviço de HDD básico e SSD básico. Tendo em conta a forma como estas restrições são definidas, se aplicar uma política da organização que exija a utilização de CMEK e, em seguida, tentar criar uma instância ou uma cópia de segurança de nível básico no projeto associado, essas operações de criação falham.
Recursos existentes
Os recursos existentes não estão sujeitos às políticas da organização criadas recentemente.
Por exemplo, se criar uma política da organização que exija que especifique uma CMEK para cada operação create, a política não se aplica retroativamente às instâncias e cadeias de cópias de segurança existentes. Esses recursos continuam acessíveis sem uma CMEK. Se quiser aplicar a política a recursos existentes, sejam instâncias ou cadeias de cópias de segurança, tem de os substituir.
Autorizações necessárias para definir uma política da organização
A autorização para definir ou atualizar a política da organização pode ser difícil de adquirir para fins de teste. Tem de lhe ser atribuída a função de administrador da política da organização, que só pode ser atribuída ao nível da organização.
Embora a função tenha de ser concedida ao nível da organização, continua a ser possível especificar uma política que se aplique apenas a um projeto ou uma pasta específicos.
Impacto da rotação de chaves do Cloud KMS
O Filestore não alterna automaticamente a chave de encriptação de um recurso quando a chave do Cloud KMS associada a esse recurso é alternada.
Todos os dados nas instâncias e cópias de segurança existentes continuam a ser protegidos pela versão da chave com a qual foram criados.
Todas as instâncias ou cópias de segurança criadas recentemente usam a versão da chave principal especificada no momento da respetiva criação.
Quando alterna uma chave, os dados que foram encriptados com versões anteriores da chave não são reenviados automaticamente. Para encriptar os seus dados com a versão mais recente da chave, tem de desencriptar a versão antiga da chave do recurso e, em seguida, voltar a encriptar o mesmo recurso com a nova versão da chave. Além disso, a rotação de uma chave não desativa nem destrói automaticamente as versões de chaves existentes.
Para obter instruções detalhadas sobre como realizar cada uma destas tarefas, consulte os seguintes guias:
- Alterne uma chave
- Desencripte e reencripte dados
- Ative e desative versões de chaves
- Destrua e restaure versões de chaves
Acesso do Filestore à chave do Cloud KMS
Uma chave do Cloud KMS é considerada disponível e acessível pelo Filestore nas seguintes condições:
- A chave está ativada
- A conta de serviço do Filestore tem autorizações de encriptação e desencriptação na chave
O que se segue?
- Saiba como encriptar uma instância ou uma cópia de segurança do Filestore.
- Saiba mais acerca das CMEK.
- Saiba mais sobre a encriptação em trânsito no Google Cloud.
- Saiba mais acerca das políticas da organização.
- Saiba mais acerca das políticas organizacionais de CMEK.