En esta página se proporciona información complementaria sobre las restricciones de políticas de organización que le permiten aplicar limitaciones a Cloud Key Management Service. Puedes usar estas restricciones para limitar las ubicaciones de los recursos o los niveles de protección permitidos de las claves de Cloud KMS en todo un proyecto o una organización.
También puedes usar políticas de organización de CMEK para aplicar el uso de CMEK en tu organización y usar políticas de organización para controlar la destrucción de claves.
Restricciones de Cloud KMS
Las siguientes restricciones se pueden aplicar a una política de la organización y están relacionadas con Cloud Key Management Service.
Aplicar ubicaciones de recursos
Nombre de la API: constraints/gcp.resourceLocations
Cuando aplicas la restricción resourceLocations, especificas una o varias ubicaciones. Una vez configuradas, la creación de nuevos recursos (por ejemplo, conjuntos de claves, claves y versiones de claves) se limita a las ubicaciones especificadas.
Las claves de otras ubicaciones que se hayan creado o importado antes de que se aplicara la restricción se podrán seguir usando. Sin embargo, la rotación de claves (creación automatizada de una nueva versión de clave principal) fallará si el resultado es una nueva versión de clave en una ubicación no permitida.
Niveles de protección permitidos
Nombre de la API: constraints/cloudkms.allowedProtectionLevels
Cuando aplicas la restricción allowedProtectionLevels, especificas uno o varios niveles de protección. Una vez configurado, las nuevas claves, versiones de claves y tareas de importación deben usar uno de los niveles de protección especificados.
Las claves con otros niveles de protección creadas antes de que se aplicara la restricción se podrán seguir usando. Sin embargo, la rotación de claves (creación automatizada de una nueva versión de clave principal) fallará si el resultado es una nueva versión de clave con un nivel de protección no permitido.
Siguientes pasos
- Consulta información sobre las políticas de organización de CMEK y sobre cómo usar las políticas de organización para controlar la destrucción de claves.
- Consulta información sobre la jerarquía de recursos que se aplica a las políticas de la organización.
- Consulta Crear y gestionar políticas de organización para obtener instrucciones sobre cómo trabajar con restricciones y políticas de organización en la consola de Google Cloud .
- Consulta Usar restricciones para obtener instrucciones sobre cómo trabajar con restricciones y políticas de organización en gcloud CLI.
- Consulta la documentación de referencia de la API Resource Manager para ver los métodos de la API pertinentes, como
projects.setOrgPolicy.