Vincoli dei criteri dell'organizzazione per Cloud KMS

Questa pagina fornisce informazioni supplementari sui vincoli dei criteri dell'organizzazione che ti consentono di applicare limitazioni per Cloud Key Management Service. Puoi utilizzare questi vincoli per limitare le posizioni delle risorse o i livelli di protezione consentiti per le chiavi Cloud KMS in un intero progetto o organizzazione.

Puoi anche utilizzare le policy dell'organizzazione CMEK per applicare l'uso di CMEK nella tua organizzazione e utilizzare le policy dell'organizzazione per controllare la distruzione delle chiavi.

Limiti di Cloud KMS

I seguenti vincoli possono essere applicati a un criterio dell'organizzazione e relativi a Cloud Key Management Service.

Applicare le località delle risorse

Nome API: constraints/gcp.resourceLocations

Quando applichi la limitazione resourceLocations, specifica una o più località. Una volta impostato, la creazione di nuove risorse (ad es.keyring, chiavi, versioni delle chiavi) è limitata alle località specificate.

Le chiavi in altre posizioni, create o importate prima dell'applicazione del vincolo, rimarranno utilizzabili. Tuttavia, la rotazione delle chiavi (creazione automatica di una nuova versione della chiave primaria) non andrà a buon fine se il risultato sarà una nuova versione della chiave in una posizione non consentita.

Livelli di protezione consentiti

Nome API: constraints/cloudkms.allowedProtectionLevels

Quando applichi il vincolo allowedProtectionLevels, specifichi uno o più livelli di protezione. Una volta impostati, le nuove chiavi, le versioni delle chiavi e i job di importazione devono utilizzare uno dei livelli di protezione specificati.

Le chiavi con altri livelli di protezione, create prima dell'applicazione del vincolo, rimarranno utilizzabili. Tuttavia, la rotazione delle chiavi (creazione automatica di una nuova versione della chiave primaria) non andrà a buon fine se il risultato sarà una nuova versione della chiave con un livello di protezione non consentito.

Passaggi successivi