Batasan kebijakan organisasi untuk Cloud KMS

Halaman ini memberikan informasi tambahan tentang batasan kebijakan organisasi yang memungkinkan Anda menerapkan batasan untuk Cloud Key Management Service. Anda dapat menggunakan batasan ini untuk membatasi lokasi resource atau tingkat perlindungan yang diizinkan untuk kunci Cloud KMS di seluruh project atau organisasi.

Anda juga dapat menggunakan kebijakan organisasi CMEK untuk menerapkan penggunaan CMEK di organisasi dan menggunakan kebijakan organisasi untuk mengontrol pemusnahan kunci.

Batasan Cloud KMS

Batasan berikut dapat diterapkan pada kebijakan organisasi dan berkaitan dengan Cloud Key Management Service.

Menerapkan lokasi resource

Nama API: constraints/gcp.resourceLocations

Saat menerapkan batasan resourceLocations, Anda menentukan satu atau beberapa lokasi. Setelah ditetapkan, pembuatan resource baru (misalnya, key ring, kunci, versi kunci) dibatasi untuk lokasi yang ditentukan.

Kunci di lokasi lain, yang dibuat atau diimpor sebelum batasan diterapkan, akan tetap dapat digunakan. Namun, rotasi kunci (pembuatan otomatis versi kunci utama baru) akan gagal jika hasilnya adalah versi kunci baru di lokasi yang tidak diizinkan.

Tingkat perlindungan yang diizinkan

Nama API: constraints/cloudkms.allowedProtectionLevels

Saat menerapkan batasan allowedProtectionLevels, Anda menentukan satu atau beberapa tingkat perlindungan. Setelah ditetapkan, kunci baru, versi kunci, dan tugas impor harus menggunakan salah satu tingkat perlindungan yang ditentukan.

Kunci dengan tingkat perlindungan lain, yang dibuat sebelum batasan diterapkan, akan tetap dapat digunakan. Namun, rotasi kunci (pembuatan otomatis versi kunci utama baru) akan gagal jika hasilnya adalah versi kunci baru dengan tingkat perlindungan yang tidak diizinkan.

Langkah berikutnya