Appliquer une règle d'administration CMEK

Google Cloud propose deux contraintes de règles d'administration pour appliquer l'utilisation de CMEK dans une organisation :

  • constraints/gcp.restrictNonCmekServices est utilisé pour exiger la protection CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects permet de limiter les clés CMEK utilisées pour la protection.

Règles d'administration CMEK ne s'appliquent qu'aux ressources nouvellement créées dans les services compatibles Google Cloud .

Pour en savoir plus sur le fonctionnement de cette fonctionnalité, consultez Hiérarchie des ressourcesGoogle Cloud et Règles d'administration CMEK.

Contrôler l'utilisation des CMEK avec une règle d'administration

NetApp Volumes s'intègre aux contraintes de règle d'administration CMEK pour vous permettre de spécifier des exigences de conformité en matière de chiffrement pour les ressources NetApp Volumes de votre organisation.

Cette intégration vous permet d'effectuer les opérations suivantes :

Exiger des CMEK pour toutes les ressources NetApp Volumes

Une règle courante consiste à exiger que les clés CMEK soient utilisées pour protéger toutes les ressources d'une organisation. Vous pouvez utiliser la contrainte constraints/gcp.restrictNonCmekServices pour appliquer cette règle dans NetApp Volumes.

Si cette règle d'administration est définie, toutes les requêtes de création de ressources sans clé Cloud KMS spécifiée échouent.

Une fois cette règle définie, elle ne s'applique qu'aux nouvelles ressources du projet. Toutes les ressources existantes sans clé Cloud KMS continuent d'exister et sont accessibles sans problème.

Suivez les instructions ci-dessous pour appliquer l'utilisation de CMEK pour les ressources NetApp Volumes à l'aide de la console Google Cloud ou de Google Cloud CLI.

Console

  1. Ouvrez la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le champ Filtre, saisissez constraints/gcp.restrictNonCmekServices, puis cliquez sur Restreindre les services autorisés à créer des ressources sans CMEK.

  3. Cliquez sur Gérer la règle.

  4. Sur la page Modifier la règle, sélectionnez Remplacer la règle parente.

  5. Sélectionnez Ajouter une règle.

  6. Sous Valeurs de règles, sélectionnez Personnalisé.

  7. Sous Policy type (Type de règle), sélectionnez Deny (Refuser).

  8. Dans le champ Valeurs personnalisées, saisissez is:netapp.googleapis.com.

  9. Cliquez sur OK, puis sur Définir la règle.

gcloud

  1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Remplacez PROJECT_ID par l'ID du projet que vous souhaitez utiliser.

  2. Exécutez la commande org-policies set-policy :

      gcloud org-policies set-policy /tmp/policy.yaml

Pour vérifier que la règle a bien été appliquée, vous pouvez essayer de créer un pool de stockage dans le projet. Le processus échoue, sauf si vous spécifiez une clé Cloud KMS.

Restreindre les clés Cloud KMS pour un projet NetApp Volumes

La contrainte constraints/gcp.restrictCmekCryptoKeyProjects vous permet de restreindre les clés Cloud KMS que vous pouvez utiliser pour protéger une ressource pour un projet NetApp Volumes.

Vous pouvez spécifier une règle. Par exemple, "pour toutes les ressources NetApp Volumes dans projects/my-company-data-project, les clés Cloud KMS utilisées dans ce projet doivent provenir de projects/my-company-central-keys OU projects/team-specific-keys."

Suivez les instructions ci-dessous pour appliquer les clés Cloud KMS au projet NetApp Volumes à l'aide de la console Google Cloud ou de Google Cloud CLI.

Console

  1. Ouvrez la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Dans le champ Filtre, saisissez constraints/gcp.restrictCmekCryptoKeyProjects, puis cliquez sur Limiter les projets pouvant fournir des clés CryptoKeys KMS pour CMEK.

  3. Cliquez sur Gérer la règle.

  4. Sur la page Modifier la règle, sélectionnez Remplacer la règle parente.

  5. Sélectionnez Ajouter une règle.

  6. Sous Valeurs de règles, sélectionnez Personnalisé.

  7. Sous Type de règle, sélectionnez Autoriser.

  8. Dans le champ Valeurs personnalisées, saisissez les informations suivantes :

    under:projects/KMS_PROJECT_ID

    Remplacez KMS_PROJECT_ID par l'ID du projet dans lequel se trouvent les clés Cloud KMS que vous souhaitez utiliser.

    Par exemple, under:projects/my-kms-project.

  9. Cliquez sur OK, puis sur Définir la règle.

gcloud

  1. Créez un fichier temporaire /tmp/policy.yaml pour stocker la règle :

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Où :

    • PROJECT_ID est l'ID du projet que vous souhaitez utiliser.
    • KMS_PROJECT_ID correspond à l'ID du projet dans lequel se trouvent les clés Cloud KMS que vous souhaitez utiliser.

  2. Exécutez la commande org-policies set-policy :

      gcloud org-policies set-policy /tmp/policy.yaml

Pour vérifier que la règle a bien été appliquée, vous pouvez essayer de créer un pool de stockage à l'aide d'une clé Cloud KMS d'un autre projet. Le processus échoue.

Limites

Les limites suivantes s'appliquent lorsque vous définissez une règle d'administration.

Ressources existantes

Les ressources existantes ne sont pas soumises aux règles d'administration nouvellement créées. Par exemple, si vous créez une règle d'administration qui vous oblige à spécifier une clé CMEK pour chaque opération create, cette règle ne s'applique pas rétroactivement aux instances et aux chaînes de sauvegarde existantes. Ces ressources restent accessibles sans clé CMEK. Si vous souhaitez appliquer la règle à des ressources existantes telles que des pools de stockage, vous devez les remplacer.

Autorisations requises pour définir une règle d'administration

Vous devez disposer du rôle Administrateur des règles d'administration accordé au niveau de l'organisation pour définir ou mettre à jour la règle d'administration à des fins de test.

Vous pouvez toujours spécifier une règle qui ne s'applique qu'à un projet ou un dossier spécifique.

Impact de la rotation des clés Cloud KMS

NetApp Volumes n'aligne pas automatiquement la rotation d'une clé de chiffrement de ressource avec la rotation de la clé Cloud KMS associée à cette ressource.

  • Toutes les données des pools de stockage existants continuent d'être protégées par la version de clé avec laquelle elles ont été créées.

  • Tous les pools de stockage nouvellement créés utilisent la version de clé primaire spécifiée au moment de leur création.

Lors de la rotation d'une clé, les données chiffrées avec les versions de clé précédentes ne sont pas automatiquement rechiffrées. Pour chiffrer vos données avec la dernière version de clé, vous devez déchiffrer l'ancienne version de clé à partir de la ressource, puis rechiffrer la même ressource avec la nouvelle version de clé. De plus, la rotation d'une clé n'entraîne ni la désactivation, ni la destruction automatique d'aucune version de clé existante.

Pour obtenir des instructions détaillées sur la façon d'effectuer chacune de ces tâches, consultez les guides suivants :

Accès de NetApp Volumes à la clé Cloud KMS

Une clé Cloud KMS est considérée comme disponible et accessible par NetApp Volumes si elle répond aux exigences suivantes :

  • La clé est activée.
  • Le compte de service NetApp Volumes détient des autorisations de chiffrement et de déchiffrement sur la clé.

Étapes suivantes