En esta página, se proporciona información complementaria sobre las restricciones de las políticas de la organización que te permiten aplicar limitaciones para Cloud Key Management Service. Puedes usar estas restricciones para limitar las ubicaciones de los recursos o los niveles de protección permitidos para las claves de Cloud KMS en todo un proyecto o una organización.
También puedes usar las políticas de la organización de CMEK para aplicar el uso de CMEK en tu organización y usar las políticas de la organización para controlar la destrucción de claves.
Restricciones de Cloud KMS
Las siguientes restricciones se pueden aplicar a una política de la organización y se relacionan con Cloud Key Management Service.
Aplica ubicaciones de recursos
Nombre de la API: constraints/gcp.resourceLocations
Cuando aplicas la restricción resourceLocations, debes especificar una o más ubicaciones. Una vez establecida, la creación de recursos nuevos (p. ej., llaveros, claves y versiones de claves) se limita a las ubicaciones especificadas.
Las claves en otras ubicaciones, creadas o importadas antes de que se aplicara la restricción, se podrán seguir usando. Sin embargo, la rotación de claves (creación automática de una versión de clave primaria nueva) fallará si el resultado es una versión de clave nueva en una ubicación no permitida.
Niveles de protección permitidos
Nombre de la API: constraints/cloudkms.allowedProtectionLevels
Cuando aplicas la restricción allowedProtectionLevels, debes especificar uno o más niveles de protección. Una vez configurados, las claves nuevas, las versiones de claves y los trabajos de importación deben usar uno de los niveles de protección especificados.
Las claves con otros niveles de protección, creadas antes de que se aplicara la restricción, se podrán seguir usando. Sin embargo, la rotación de claves (creación automática de una nueva versión de clave primaria) fallará si el resultado es una nueva versión de clave con un nivel de protección no permitido.
¿Qué sigue?
- Obtén información sobre las políticas de la organización de CMEK y cómo usarlas para controlar la destrucción de claves.
- Obtén información sobre la jerarquía de recursos que se aplica a las políticas de la organización.
- Consulta Crea y administra políticas de la organización para obtener instrucciones para trabajar con restricciones y políticas de la organización en la consola de Google Cloud .
- Consulta Usa restricciones a fin de obtener instrucciones para trabajar con restricciones y políticas de la organización en la CLI de gcloud.
- Consulta la documentación de referencia de la API de Resource Manager para ver los métodos de API relevantes, como
projects.setOrgPolicy.