OGoogle Cloud oferece duas restrições de política da organização para ajudar a garantir o uso da CMEK em uma organização:
constraints/gcp.restrictNonCmekServicesé usado para exigir proteção com CMEK.constraints/gcp.restrictCmekCryptoKeyProjectsé usado para limitar quais chaves do Cloud KMS são usadas para proteção com CMEK.
As políticas da organização de CMEK só se aplicam aos recursos recém-criados nos serviços Google Cloud com suporte.
Funções exigidas
Para garantir que cada usuário tenha as permissões necessárias
para verificar as políticas da organização ao criar recursos,
peça ao administrador para conceder a cada usuário o
papel do IAM de Leitor de políticas da organização (roles/orgpolicy.policyViewer)
na sua organização.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para verificar as políticas da organização ao criar recursos. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para verificar as políticas da organização ao criar recursos:
-
Para conferir todos os detalhes da política da organização:
orgpolicy.policy.get -
Para verificar a política da organização ao criar recursos:
orgpolicy.policies.check
O administrador também pode conceder essas permissões a cada usuário com papéis personalizados ou outros papéis predefinidos.
Quando as políticas da organização estão ativas, a permissão orgpolicy.policies.check
é necessária para usuários do console Google Cloud que criam recursos protegidos
por chaves CMEK. Os usuários sem essa permissão podem criar recursos protegidos por CMEK usando o console Google Cloud , mas podem selecionar uma chave CMEK que não é permitida pela restrição restrictCmekCryptoKeyProjects. Quando uma chave que não atende a essa restrição é selecionada, a criação do recurso acaba falhando.
Exigir proteção de CMEK
Para exigir a proteção da CMEK na sua organização, configure a política da organização constraints/gcp.restrictNonCmekServices.
Como uma restrição de lista, os valores aceitos para essa restrição são nomes de serviços Google Cloud(por exemplo, bigquery.googleapis.com). Use essa restrição fornecendo uma lista de nomes de serviços Google Cloud e definindo a restrição como Negar. Essa configuração bloqueia a criação de recursos nesses
serviços se o recurso não estiver protegido pela CMEK. Em
outras palavras, as solicitações para criar um recurso no serviço não funcionam sem
especificar uma chave do Cloud KMS. Além disso, essa restrição bloqueia
a remoção da proteção de CMEK dos recursos nesses serviços. Essa restrição só pode ser aplicada a serviços compatíveis.
Limitar o uso de chaves do Cloud KMS para CMEK
Para limitar quais chaves do Cloud KMS são usadas para proteção por CMEK,
configure a restrição constraints/gcp.restrictCmekCryptoKeyProjects.
Como uma restrição de lista, os valores aceitos são indicadores de hierarquia de recursos (por
exemplo, projects/PROJECT_ID,
under:folders/FOLDER_ID e
under:organizations/ORGANIZATION_ID). Use essa restrição
configurando uma lista de indicadores de hierarquia de recursos e definindo a restrição
como Permitir. Essa configuração restringe os serviços compatíveis para que as chaves CMEK
possam ser escolhidas apenas na lista de projetos, pastas e organizações.
As solicitações para criar recursos protegidos por CMEK em serviços configurados não funcionam
sem uma chave do Cloud KMS
de um dos recursos permitidos. Quando configurada, essa restrição se aplica a todos os serviços compatíveis.
Serviços compatíveis
| Serviço | Valor da restrição ao exigir CMEK |
|---|---|
| AI Applications | discoveryengine.googleapis.com |
| AlloyDB para PostgreSQL | alloydb.googleapis.com |
| Apigee | apigee.googleapis.com |
| Application Integration | integrations.googleapis.com |
| Artifact Registry | artifactregistry.googleapis.com |
| Backup para GKE (Visualização) | gkebackup.googleapis.com |
| BigQuery | bigquery.googleapis.com |
| Bigtable | bigtable.googleapis.com |
| Cloud Composer | composer.googleapis.com |
| Cloud Data Fusion | datafusion.googleapis.com |
| Cloud Logging | logging.googleapis.com |
| Cloud Run | run.googleapis.com |
| Funções do Cloud Run | cloudfunctions.googleapis.com |
| Cloud SQL | sqladmin.googleapis.com |
| Cloud Storage | storage.googleapis.com |
| Cloud Tasks | cloudtasks.googleapis.com |
| Cloud Workstations | workstations.googleapis.com |
| Colab Enterprise | aiplatform.googleapis.com |
| Compute Engine | compute.googleapis.com |
| Dataflow | dataflow.googleapis.com |
| Dataform | dataform.googleapis.com |
| Dataplex Universal Catalog | dataplex.googleapis.com |
| Dataproc | dataproc.googleapis.com |
| Document AI | documentai.googleapis.com |
| Eventarc Advanced (Visualização) | eventarc.googleapis.com |
| Eventarc Standard | eventarc.googleapis.com |
| Filestore | file.googleapis.com |
| Firestore | firestore.googleapis.com |
| Google Agentspace Enterprise | discoveryengine.googleapis.com |
| Google Kubernetes Engine (prévia) | container.googleapis.com |
| Looker (Google Cloud Core) | looker.googleapis.com |
| Memorystore para Redis | redis.googleapis.com |
| Pub/Sub | pubsub.googleapis.com |
| Secret Manager | secretmanager.googleapis.com |
| Secure Source Manager | securesourcemanager.googleapis.com |
| Spanner | spanner.googleapis.com |
| Speech-to-Text | speech.googleapis.com |
| Vertex AI | aiplatform.googleapis.com |
| Instâncias do Vertex AI Workbench | notebooks.googleapis.com |
Políticas da organização de CMEK e o serviço de transferência do Cloud Storage
Embora o Serviço de transferência do Cloud Storage não tenha uma integração com a CMEK, ele pode ser usado com políticas da organização da CMEK. Se você usa o Serviço de transferência do Cloud Storage e quer
garantir que as credenciais do banco de dados armazenadas no Secret Manager estejam
protegidas pela CMEK, adicione storagetransfer.googleapis.com e
secretmanager.googleapis.com à restrição constraints/gcp.restrictNonCmekServices. Para mais informações, consulte a documentação da CMEK do Serviço de transferência do Cloud Storage.
Exceções de aplicação por tipo de recurso
As restrições de política da organização de CMEK são aplicadas ao criar um novo recurso ou ao mudar (quando compatível) a chave do Cloud KMS em um recurso existente. Em geral, elas são aplicadas a todos os tipos de recursos de um serviço que aceitam a CMEK e são baseadas apenas na configuração do recurso. Confira algumas exceções importantes:
| Tipo de recurso | Exceção de aplicação |
|---|---|
bigquery.googleapis.com/Dataset |
Parcialmente aplicada à chave padrão do Cloud KMS do conjunto de dados (somente gcp.restrictCmekCryptoKeyProjects)
|
bigquery.googleapis.com/Job |
Somente jobs de consulta: aplicada à chave do Cloud KMS fornecida com a consulta ou padrão do projeto de faturamento. Consulte também a configuração separada da chave padrão do Cloud KMS do projeto. |
bigquerydatatransfer.googleapis.com/TransferConfig |
As configurações de transferência usam o nome do serviço de transferência de dados (bigquerydatatransfer.googleapis.com) para restrições de política de organização da CMEK. |
container.googleapis.com/Cluster |
(Prévia) Aplicado apenas à chave do Cloud KMS para o disco de inicialização do nó, não aos secrets na camada do aplicativo |
logging.googleapis.com/LogBucket |
Aplicada a buckets de registro criados explicitamente. Consulte também a configuração necessária para garantir a conformidade dos buckets de registro integrados |
storage.googleapis.com/Bucket |
Aplicada à chave padrão do Cloud KMS do bucket |
storage.googleapis.com/Object |
Aplicada de forma independente do bucket. Consulte também a configuração separada da chave padrão do Cloud KMS do bucket. |
Exemplos de configuração
Nos exemplos de configuração, suponha que a organização de exemplo tenha a seguinte hierarquia de recursos:
Exigir CMEK e limitar chaves para um projeto
Suponha que você queira exigir a proteção com CMEK para todos os recursos do Cloud Storage
em projects/5 e garantir que apenas as chaves de projects/4 possam ser
usadas.
Para exigir a proteção da CMEK em todos os novos recursos do Cloud Storage, use a seguinte configuração de política da organização:
- Política da organização:
constraints/gcp.restrictNonCmekServices - Vinculação em:
projects/5 - Tipo de política: Negar
- Valor da política:
storage.googleapis.com
Para garantir que apenas as chaves de projects/4 sejam usadas, use a seguinte configuração:
- Política da organização:
constraints/gcp.restrictCmekCryptoKeyProjects - Vinculação em:
projects/5 - Tipo de política: Permitir
- Valor da política:
projects/4
Exigir CMEK e limitar as chaves a uma pasta
Outra opção é adicionar mais projetos do Cloud KMS em folders/2 no futuro e exigir a CMEK de forma mais ampla em folders/3. Para esse cenário, você precisa de configurações
ligeiramente diferentes.
Para exigir proteção adicional de CMEK para novos recursos do Cloud SQL e do Cloud Storage
em qualquer lugar em folders/3:
- Política da organização:
constraints/gcp.restrictNonCmekServices - Vinculação em:
folders/3 - Tipo de política: Negar
- Valores da política:
sqladmin.googleapis.com,storage.googleapis.com
Para garantir que apenas as chaves de projetos do Cloud KMS em folders/2 sejam usadas:
- Política da organização:
constraints/gcp.restrictCmekCryptoKeyProjects - Vinculação em:
folders/3 - Tipo de política: Permitir
- Valor da política:
under:folders/2
Exigir CMEK para uma organização
Para exigir a CMEK em toda a organização (nos serviços compatíveis),
configure a restrição constraints/gcp.restrictNonCmekServices com a seguinte configuração:
- Política da organização:
constraints/gcp.restrictNonCmekServices - Vinculação em:
organizations/1 - Tipo de política: Negar
- Valores da política: (todos os serviços compatíveis)
Limitações
Se você usar o console Google Cloud para criar um recurso, vai notar que não é possível usar outras opções de criptografia além da CMEK quandoconstraints/gcp.restrictNonCmekServicesestá configurado para um projeto e um serviço. A restrição da política da organização da CMEK só fica visível quando a conta do cliente recebe a permissão orgpolicy.policy.get do IAM no projeto.
A seguir
Consulte Introdução ao serviço de política da organização para saber mais sobre os benefícios e casos de uso comuns das políticas da organização.
Para mais exemplos de como criar uma política da organização com restrições específicas, consulte Como usar restrições.