本页面提供适用于 Cloud Key Management Service 的组织政策限制条件的补充信息。使用限制条件可在整个项目或组织中实施资源行为。
Cloud KMS 限制
以下限制条件可应用于组织政策并与 Cloud Key Management Service 相关。
强制执行资源位置
API 名称:constraints/gcp.resourceLocations
应用 resourceLocations 限制条件时,请指定一个或多个营业地点。设置后,新资源(例如钥匙串、密钥、密钥版本)的创建将仅限于指定位置。
在应用此限制之前创建或导入的其他位置的密钥将仍然可用。不过,如果新密钥版本位于禁止的位置,密钥轮替(自动创建新的主密钥版本)将会失败。
允许的保护级别
API 名称:constraints/cloudkms.allowedProtectionLevels
应用 allowedProtectionLevels 限制条件时,请指定一个或多个保护级别。设置后,新密钥、密钥版本和导入作业必须使用指定的保护级别之一。
在应用限制之前创建的其他保护级别的密钥仍可使用。但是,如果新密钥版本的保护级别不受允许,密钥轮替(自动创建新的主密钥版本)将会失败。
后续步骤
- 了解适用于组织政策的资源层次结构。
- 如需了解如何在 Google Cloud Console 中使用限制条件和组织政策,请参阅创建和管理组织政策。
- 如需了解如何在 gcloud 中使用限制条件和组织政策,请参阅使用限制条件。
- 如需了解相关 API 方法,例如
projects.setOrgPolicy,请参阅 Resource Manager API 参考文档。