Restrições de política da organização para o Cloud KMS

Nesta página, você encontra informações complementares sobre as restrições da política da organização que permitem aplicar limitações ao Cloud Key Management Service. É possível usar essas restrições para limitar locais de recursos ou níveis de proteção permitidos para chaves do Cloud KMS em um projeto ou organização inteira.

Também é possível usar as políticas da organização de CMEK para aplicar o uso da CMEK na sua organização e usar políticas da organização para controlar a destruição de chaves.

Restrições do Cloud KMS

As restrições a seguir podem ser aplicadas a uma política da organização e estão relacionadas ao Cloud Key Management Service.

Aplicar locais de recursos

Nome da API: constraints/gcp.resourceLocations

Ao aplicar a restrição resourceLocations, você especifica um ou mais locais. Depois de definido, a criação de novos recursos (por exemplo, chaveiros, chaves e versões de chaves) é limitada aos locais especificados.

As chaves em outros locais, criadas ou importadas antes da aplicação da restrição, vão continuar utilizáveis. No entanto, a rotação de chaves (criação automática de uma nova versão da chave primária) vai falhar se o resultado for uma nova versão da chave em um local não permitido.

Níveis de proteção permitidos

Nome da API: constraints/cloudkms.allowedProtectionLevels

Ao aplicar a restrição allowedProtectionLevels, você especifica um ou mais níveis de proteção. Depois de definido, novas chaves, versões de chaves e jobs de importação precisam usar um dos níveis de proteção especificados.

As chaves com outros níveis de proteção, criadas antes que a restrição fosse aplicada, vão continuar utilizáveis. No entanto, a rotação de chaves (criação automática de uma nova versão da chave primária) vai falhar se o resultado for uma nova versão da chave com um nível de proteção não permitido.

A seguir