CMEK-Organisationsrichtlinie anwenden

Google Cloud bietet zwei Einschränkungen für Organisationsrichtlinien, um die CMEK-Nutzung in einer Organisation zu erzwingen:

  • constraints/gcp.restrictNonCmekServices wird verwendet, um einen CMEK-Schutz zu erzwingen.

  • Mit constraints/gcp.restrictCmekCryptoKeyProjects wird eingeschränkt, welche CMEK-Schlüssel für den Schutz verwendet werden.

CMEK-Organisationsrichtlinien gelten nur für neu erstellte Ressourcen in unterstützten Diensten. Google Cloud

Weitere Informationen zur Funktionsweise finden Sie unter Google Cloud Ressourcenhierarchie und CMEK-Organisationsrichtlinien.

CMEK-Nutzung mit einer Organisationsrichtlinie steuern

NetApp Volumes lässt sich in CMEK-Organisationsrichtlinieneinschränkungen einbinden, um Anforderungen für die Verschlüsselungscompliance für NetApp Volumes-Ressourcen in Ihrer Organisation anzugeben.

Durch diese Einbindung haben Sie folgende Möglichkeiten:

CMEKs für alle NetApp Volumes-Ressourcen erzwingen

Eine gängige Richtlinie besteht darin, die Verwendung von CMEKs zu erzwingen, um alle Ressourcen in einer Organisation zu schützen. Mit der constraints/gcp.restrictNonCmekServices-Einschränkung können Sie diese Richtlinie in NetApp Volumes erzwingen.

Ist diese Richtlinie festgelegt, schlagen alle Anfragen zur Ressourcenerstellung ohne angegebenen Cloud KMS-Schlüssel fehl.

Nachdem Sie diese Richtlinie festgelegt haben, gilt sie nur für neue Ressourcen im Projekt. Alle vorhandenen Ressourcen, für die keine Cloud KMS-Schlüssel festgelegt sind, bleiben bestehen und sind problemlos zugänglich.

Gehen Sie nach der folgenden Anleitung vor, um die Verwendung von CMEK für NetApp Volumes-Ressourcen mit der Google Cloud Console oder der Google Cloud CLI zu erzwingen.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictNonCmekServices ein und klicken Sie dann auf Einschränken, welche Dienste Ressourcen ohne CMEK erstellen können.

  3. Klicken Sie auf  Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp die Option Ablehnen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte den Wert is:netapp.googleapis.com ein.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Ersetzen Sie PROJECT_ID durch die Projekt-ID des Projekts, das Sie verwenden möchten.

  2. Führen Sie den Befehl org-policies set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

Wenn Sie prüfen möchten, ob die Richtlinie erfolgreich angewendet wurde, können Sie versuchen, einen Speicherpool im Projekt zu erstellen. Der Vorgang schlägt fehl, wenn Sie keinen Cloud KMS-Schlüssel angeben.

Cloud KMS-Schlüssel für NetApp Volumes-Projekt einschränken

Mit der Einschränkung constraints/gcp.restrictCmekCryptoKeyProjects können Sie die Cloud KMS-Schlüssel einschränken, mit denen eine Ressource für ein NetApp Volumes-Projekt geschützt werden kann.

Sie können eine Regel angeben, z. B. „Für alle NetApp Volumes-Ressourcen in projects/my-company-data-project müssen die in diesem Projekt verwendeten Cloud KMS-Schlüssel von projects/my-company-central-keys ODER projects/team-specific-keys stammen.“

Gehen Sie nach der folgenden Anleitung vor, um Cloud KMS-Schlüssel für das NetApp Volumes-Projekt mit der Google Cloud -Konsole oder der Google Cloud CLI zu erzwingen.

Console

  1. Öffnen Sie die Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Geben Sie im Feld Filter constraints/gcp.restrictCmekCryptoKeyProjects ein und klicken Sie dann auf Beschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können.

  3. Klicken Sie auf  Richtlinie verwalten.

  4. Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  7. Wählen Sie unter Richtlinientyp Zulassen aus.

  8. Geben Sie im Feld Benutzerdefinierte Werte Folgendes ein:

    under:projects/KMS_PROJECT_ID

    Ersetzen Sie KMS_PROJECT_ID durch die Projekt-ID, in der sich die Cloud KMS-Schlüssel befinden, die Sie verwenden möchten.

    Beispiel: under:projects/my-kms-project.

  9. Klicken Sie auf Fertig und dann auf Richtlinie festlegen.

gcloud

  1. Erstellen Sie die temporäre Datei /tmp/policy.yaml zum Speichern der Richtlinie:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Wobei:

    • PROJECT_ID ist die Projekt-ID des Projekts, das Sie verwenden möchten.
    • KMS_PROJECT_ID ist die Projekt-ID des Projekts, in dem sich die Cloud KMS-Schlüssel befinden, die Sie verwenden möchten.

  2. Führen Sie den Befehl org-policies set-policy aus:

      gcloud org-policies set-policy /tmp/policy.yaml

Sie können versuchen, einen Speicherpool mit einem Cloud KMS-Schlüssel aus einem anderen Projekt zu erstellen, um zu prüfen, ob die Richtlinie erfolgreich angewendet wurde. Der Vorgang wird fehlschlagen.

Beschränkungen

Beim Festlegen von Organisationsrichtlinien gelten die folgenden Einschränkungen.

Vorhandene Ressourcen

Vorhandene Ressourcen unterliegen nicht neu erstellten Organisationsrichtlinien. Wenn Sie beispielsweise eine Organisationsrichtlinie erstellen, in der für jeden create-Vorgang ein CMEK angegeben werden muss, gilt die Richtlinie nicht rückwirkend für vorhandene Instanzen und Sicherungsketten. Auf diese Ressourcen kann weiterhin ohne CMEK zugegriffen werden. Wenn Sie die Richtlinie auf vorhandene Ressourcen wie Speicherpools anwenden möchten, müssen Sie diese ersetzen.

Erforderliche Berechtigungen zum Festlegen einer Organisationsrichtlinie

Sie benötigen die Rolle „Administrator für Organisationsrichtlinien“ auf Organisationsebene, um die Organisationsrichtlinie zu Testzwecken festzulegen oder zu aktualisieren.

Sie können weiterhin eine Richtlinie angeben, die nur für ein bestimmtes Projekt oder einen bestimmten Ordner gilt.

Auswirkung der Cloud KMS-Schlüsselrotation

In NetApp Volumes wird der Verschlüsselungsschlüssel einer Ressource nicht automatisch rotiert, wenn der mit dieser Ressource verknüpfte Cloud KMS-Schlüssel rotiert wird.

  • Alle Daten in vorhandenen Speicherpools sind weiterhin durch die Schlüsselversion geschützt, mit der sie erstellt wurden.

  • Alle neu erstellten Speicherpools verwenden die Primärschlüsselversion, die zum Zeitpunkt der Erstellung angegeben wurde.

Wenn Sie einen Schlüssel rotieren, werden Daten, die mit früheren Schlüsselversionen verschlüsselt wurden, nicht automatisch neu verschlüsselt. Wenn Sie Ihre Daten mit der neuesten Schlüsselversion verschlüsseln möchten, müssen Sie die alte Schlüsselversion aus der Ressource entschlüsseln und dann dieselbe Ressource mit der neuen Schlüsselversion neu verschlüsseln. Außerdem werden durch das Rotieren eines Schlüssels vorhandene Schlüsselversionen nicht automatisch deaktiviert oder gelöscht.

Eine detaillierte Anleitung für jede dieser Aufgaben finden Sie in den folgenden Anleitungen:

NetApp Volumes-Zugriff auf den Cloud KMS-Schlüssel

Ein Cloud KMS-Schlüssel gilt in NetApp Volumes unter folgenden Voraussetzungen als verfügbar und zugänglich:

  • Wenn der Schlüssel aktiviert ist
  • Das NetApp Volumes-Dienstkonto hat für den Schlüssel Berechtigungen zum Ver- und Entschlüsseln.

Nächste Schritte