Aplica una política de la organización de CMEK

Google Cloud ofrece dos restricciones de políticas de la organización para aplicar el uso de CMEK en toda una organización:

  • constraints/gcp.restrictNonCmekServices se usa para requerir protección de CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects se usa para limitar las claves de CMEK que se usan para la protección.

Las políticas de la organización de CMEK solo se aplican a los recursos recién creados dentro de los servicios Google Cloud admitidos.

Para obtener más información sobre cómo funciona, consulta la jerarquía de recursos deGoogle Cloud y las políticas de la organización de CMEK.

Controla el uso de CMEK con una política de la organización

NetApp Volumes se integra a las restricciones de las políticas de la organización con CMEK para que puedas especificar los requisitos de cumplimiento de encriptación para los recursos de NetApp Volumes en tu organización.

Esta integración te permite hacer lo siguiente:

Requerir CMEK para todos los recursos de NetApp Volumes

Una política común es requerir que las CMEK se usen para proteger todos los recursos en una organización. Puedes usar la restricción constraints/gcp.restrictNonCmekServices para aplicar esta política en NetApp Volumes.

Si se configura, esta política de la organización causará que fallen todas las solicitudes de creación de recursos sin una clave especificada de Cloud KMS.

Después de establecer esta política, se aplica solo a los recursos nuevos del proyecto. Todos los recursos existentes sin las claves de Cloud KMS establecidas seguirán existiendo y se podrá acceder a ellos sin problemas.

Sigue estas instrucciones para aplicar el uso de CMEK en los recursos de NetApp Volumes con la Google Cloud consola o Google Cloud CLI.

Console

  1. Abre la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el campo Filtro, ingresa constraints/gcp.restrictNonCmekServices y, luego, haz clic en Restringir los servicios que pueden crear recursos sin CMEK.

  3. Haz clic en Administrar política.

  4. En la página Editar política, selecciona Anular la política del elemento superior.

  5. Selecciona Agregar una regla.

  6. En Valores de la política, selecciona Personalizar.

  7. En Tipo de política, selecciona Rechazar.

  8. En el campo Valores personalizados, ingresa is:netapp.googleapis.com.

  9. Haz clic en Listo y, luego, en Establecer política.

gcloud

  1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Reemplaza PROJECT_ID por el ID del proyecto que deseas usar.

  2. Ejecuta el comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar que la política se haya aplicado correctamente, puedes intentar crear un grupo de almacenamiento en el proyecto. El proceso falla, a menos que especifiques una clave de Cloud KMS.

Restringe las claves de Cloud KMS para el proyecto de NetApp Volumes

Puedes usar la restricción constraints/gcp.restrictCmekCryptoKeyProjects para restringir las claves de Cloud KMS que puedes usar para proteger un recurso en un proyecto de NetApp Volumes.

Puedes especificar una regla, por ejemplo, "Para todos los recursos de NetApp Volumes en proyectos/my-company-data-project, las claves de Cloud KMS que se usan en este proyecto deben provenir de proyectos/my-company-central-keys O proyectos/team-specific-keys".

Sigue las instrucciones que se indican a continuación para aplicar claves de Cloud KMS al proyecto de NetApp Volumes con la consola de Google Cloud o Google Cloud CLI.

Console

  1. Abre la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el campo Filtro, ingresa constraints/gcp.restrictCmekCryptoKeyProjects y, luego, haz clic en Restringir los proyectos que pueden proporcionar CryptoKeys de KMS para CMEK.

  3. Haz clic en Administrar política.

  4. En la página Editar política, selecciona Anular la política del elemento superior.

  5. Selecciona Agregar una regla.

  6. En Valores de la política, selecciona Personalizar.

  7. En Tipo de política, selecciona Permitir.

  8. En el campo Valores personalizados, ingresa lo siguiente:

    under:projects/KMS_PROJECT_ID

    Reemplaza KMS_PROJECT_ID por el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar.

    Por ejemplo, under:projects/my-kms-project.

  9. Haz clic en Listo y, luego, en Establecer política.

gcloud

  1. Crea un archivo temporal /tmp/policy.yaml para almacenar la política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Aquí:

    • PROJECT_ID es el ID del proyecto que deseas usar.
    • KMS_PROJECT_ID es el ID del proyecto en el que se encuentran las claves de Cloud KMS que deseas usar.

  2. Ejecuta el comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar que la política se haya aplicado correctamente, puedes intentar crear un grupo de almacenamiento con una clave de Cloud KMS de un proyecto diferente. El proceso fallará.

Limitaciones

Se aplican las siguientes limitaciones cuando se establece una política de la organización.

Recursos existentes

Los recursos existentes no están sujetos a las políticas de la organización recién creadas. Por ejemplo, si creas una política de la organización que requiere que especifiques una CMEK para cada operación de create, la política no se aplica de forma retroactiva a las instancias existentes ni a las cadenas de copias de seguridad. Aún se puede acceder a esos recursos sin una CMEK. Si deseas aplicar la política a recursos existentes, como los grupos de almacenamiento, debes reemplazarlos.

Permisos necesarios para establecer una política de la organización

Necesitas el rol de administrador de políticas de la organización otorgado a nivel de la organización para establecer o actualizar la política de la organización con fines de prueba.

Aún puedes especificar una política que solo se aplique a un proyecto o una carpeta específicos.

Efecto de la rotación de claves de Cloud KMS

NetApp Volumes no rota automáticamente la clave de encriptación de un recurso cuando se rota la clave de Cloud KMS asociada a ese recurso.

  • Todos los datos en los grupos de almacenamiento existentes siguen protegidos por la versión de clave con la que se crearon.

  • Los grupos de almacenamiento recién creados usan la versión de clave primaria especificada en el momento de su creación.

Cuando rotas una clave, los datos que se encriptaron con versiones de claves anteriores no se vuelven a encriptar de forma automática. Para encriptar tus datos con la versión de clave más reciente, debes desencriptar la versión de clave anterior del recurso y, luego, volver a encriptar el mismo recurso con la versión de clave nueva. Además, la rotación de una clave no inhabilita ni destruye de forma automática ninguna versión de clave existente.

Para obtener instrucciones detalladas sobre cómo realizar cada una de estas tareas, consulta las siguientes guías:

Acceso de NetApp Volumes a la clave de Cloud KMS

Se considera que una clave de Cloud KMS está disponible y que NetApp Volumes puede acceder a ella si se dan las siguientes condiciones:

  • La clave está habilitada.
  • La cuenta de servicio de NetApp Volumes tiene permisos de encriptación y desencriptación en la clave.

¿Qué sigue?