本頁面提供有關組織政策限制的補充資訊,可讓您為 Cloud Key Management Service 強制執行限制。您可以使用這些限制,限制整個專案或機構的 Cloud KMS 金鑰資源位置或允許的保護層級。
您也可以使用 CMEK 組織政策,在貴機構中強制使用 CMEK,並使用組織政策控制金鑰銷毀。
Cloud KMS 限制
下列限制可套用至機構政策,並與 Cloud Key Management Service 相關。
強制執行資源位置
API 名稱:constraints/gcp.resourceLocations
套用 resourceLocations 限制時,您需要指定一或多個地點。設定後,新資源 (例如金鑰環、金鑰、金鑰版本) 的建立作業就會限制在指定位置。
在限制條件套用前建立或匯入的其他位置金鑰,仍可供使用。不過,如果金鑰輪替 (自動建立新的主鍵版本) 結果是位於不允許位置的新金鑰版本,則會失敗。
允許的防護等級
API 名稱:constraints/cloudkms.allowedProtectionLevels
套用 allowedProtectionLevels 限制時,您會指定一或多個防護等級。設定完成後,新金鑰、金鑰版本和匯入工作必須使用其中一個指定的防護等級。
在套用限制條件前建立的其他保護等級金鑰,仍可供使用。不過,如果結果是新金鑰版本,且具有不允許的保護等級,金鑰輪替 (自動建立新主要金鑰版本) 就會失敗。
後續步驟
- 瞭解 CMEK 組織政策,以及如何使用組織政策控管金鑰銷毀作業。
- 瞭解適用於機構政策的資源階層。
- 如要瞭解如何在 Google Cloud 控制台中使用限制和機構政策,請參閱「建立及管理機構政策」一文。
- 如要瞭解如何在 gcloud CLI 中使用限制條件和組織政策,請參閱「使用限制條件」一文。
- 如需相關的 API 方法 (例如
projects.setOrgPolicy),請參閱 Resource Manager API 參考說明文件。