本页面就可让您强制执行 Cloud Key Management Service 限制的组织政策限制条件提供补充信息。您可以使用这些限制条件在整个项目或组织中限制 Cloud KMS 密钥的资源位置或允许的保护级别。
您还可以使用 CMEK 组织政策强制在贵组织中使用 CMEK,并使用组织政策控制密钥销毁。
Cloud KMS 限制
以下限制条件可应用于组织政策并与 Cloud Key Management Service 相关。
强制执行资源位置
API 名称:constraints/gcp.resourceLocations
应用 resourceLocations 限制条件时,请指定一个或多个营业地点。设置后,新资源(例如钥匙串、密钥、密钥版本)的创建将仅限于指定位置。
在应用此限制之前创建或导入的其他位置的密钥仍可使用。不过,如果新密钥版本的存储位置不受允许,密钥轮替(自动创建新的主密钥版本)将会失败。
允许的保护级别
API 名称:constraints/cloudkms.allowedProtectionLevels
应用 allowedProtectionLevels 限制条件时,请指定一个或多个保护级别。设置后,新密钥、密钥版本和导入作业必须使用指定的保护级别之一。
在应用限制之前创建的其他保护级别的密钥仍可使用。不过,如果新密钥版本的保护级别不受允许,密钥轮替(自动创建新的主密钥版本)将会失败。
后续步骤
- 了解 CMEK 组织政策以及如何使用组织政策控制密钥销毁。
- 了解适用于组织政策的资源层次结构。
- 如需了解如何在 Google Cloud 控制台中使用限制条件和组织政策,请参阅创建和管理组织政策。
- 如需了解如何在 gcloud CLI 中使用限制条件和组织政策,请参阅使用限制条件。
- 如需了解相关 API 方法,例如
projects.setOrgPolicy,请参阅 Resource Manager API 参考文档。