Diese Seite enthält zusätzliche Informationen zu den Einschränkungen für Organisationsrichtlinien, mit denen Sie Einschränkungen für Cloud Key Management Service erzwingen können. Mit diesen Einschränkungen können Sie Speicherorte von Ressourcen oder zulässige Schutzlevel für Cloud KMS-Schlüssel für ein ganzes Projekt oder eine ganze Organisation einschränken.
Sie können auch CMEK-Organisationsrichtlinien verwenden, um die Verwendung von CMEK in Ihrer Organisation zu erzwingen, und Organisationsrichtlinien verwenden, um die Schlüsselvernichtung zu steuern.
Cloud KMS-Einschränkungen
Die folgenden Einschränkungen gelten für Cloud Key Management Service und können auf eine Organisationsrichtlinie angewendet werden.
Ressourcenstandorte erzwingen
API-Name: constraints/gcp.resourceLocations
Wenn Sie die Einschränkung resourceLocations anwenden, geben Sie eine oder mehrere Standorte an. Danach ist die Erstellung neuer Ressourcen (z. B. Schlüsselringe, Schlüssel und Schlüsselversionen) auf die angegebenen Standorte beschränkt.
Schlüssel an anderen Speicherorten, die vor der Anwendung der Einschränkung erstellt oder importiert wurden, können weiterhin verwendet werden. Die Schlüsselrotation (automatische Erstellung einer neuen Primärschlüsselversion) schlägt jedoch fehl, wenn das Ergebnis eine neue Schlüsselversion an einem nicht zulässigen Speicherort wäre.
Zulässige Schutzniveaus
API-Name: constraints/cloudkms.allowedProtectionLevels
Wenn Sie die Einschränkung allowedProtectionLevels anwenden, geben Sie eine oder mehrere Schutzebenen an. Nach der Festlegung müssen neue Schlüssel, Schlüsselversionen und Importjobs eine der angegebenen Schutzstufen verwenden.
Schlüssel mit anderen Schutzniveaus, die vor der Anwendung der Einschränkung erstellt wurden, können weiterhin verwendet werden. Die Schlüsselrotation (automatische Erstellung einer neuen Primärschlüsselversion) schlägt jedoch fehl, wenn das Ergebnis eine neue Schlüsselversion mit einer nicht zulässigen Schutzstufe wäre.
Nächste Schritte
- Weitere Informationen zu CMEK-Organisationsrichtlinien und zur Verwendung von Organisationsrichtlinien zur Verwaltung der Schlüsselvernichtung
- Weitere Informationen zur Ressourcenhierarchie für Organisationsrichtlinien
- Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der Google Cloud -Konsole finden Sie unter Organisationsrichtlinien erstellen und verwalten.
- Eine Anleitung zum Arbeiten mit Einschränkungen und Organisationsrichtlinien in der gcloud CLI finden Sie unter Einschränkungen verwenden.
- Informationen zu relevanten API-Methoden wie
projects.setOrgPolicyfinden Sie in der Referenzdokumentation zur Resource Manager API.