Menerapkan kebijakan organisasi CMEK

Google Cloud menawarkan dua batasan kebijakan organisasi untuk menerapkan penggunaan CMEK di seluruh organisasi:

  • constraints/gcp.restrictNonCmekServices digunakan untuk mewajibkan perlindungan CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects digunakan untuk membatasi kunci CMEK yang digunakan untuk perlindungan.

Kebijakan organisasi CMEK hanya berlaku untuk resource yang baru dibuat dalam layanan yang didukung Google Cloud .

Untuk mengetahui informasi selengkapnya tentang cara kerjanya, lihat hierarki resourceGoogle Cloud dan kebijakan organisasi CMEK.

Mengontrol penggunaan CMEK dengan kebijakan organisasi

NetApp Volumes terintegrasi dengan batasan kebijakan organisasi CMEK agar Anda dapat menentukan persyaratan kepatuhan enkripsi untuk resource NetApp Volumes di organisasi Anda.

Integrasi ini memungkinkan Anda melakukan hal berikut:

Mewajibkan CMEK untuk semua resource NetApp Volumes

Kebijakan umumnya adalah mewajibkan CMEK digunakan untuk melindungi semua resource dalam organisasi. Anda dapat menggunakan batasan constraints/gcp.restrictNonCmekServices untuk menerapkan kebijakan ini di NetApp Volumes.

Jika ditetapkan, kebijakan organisasi ini akan menyebabkan semua permintaan pembuatan resource tanpa kunci Cloud KMS yang ditentukan akan gagal.

Setelah ditetapkan, kebijakan ini hanya berlaku untuk resource baru dalam project. Setiap resource yang ada tanpa kunci Cloud KMS akan tetap ada dan dapat diakses tanpa masalah.

Gunakan petunjuk berikut untuk menerapkan penggunaan CMEK bagi resource NetApp Volumes menggunakan konsol atau Google Cloud CLI. Google Cloud

Konsol

  1. Buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di kolom Filter, masukkan constraints/gcp.restrictNonCmekServices, lalu klik Batasi layanan mana yang dapat membuat resource tanpa CMEK.

  3. Klik Kelola Kebijakan.

  4. Di halaman Edit kebijakan, pilih Ganti kebijakan induk.

  5. Pilih Tambahkan aturan.

  6. Di bagian Policy values, pilih Custom.

  7. Di bagian Jenis kebijakan, pilih Tolak.

  8. Di kolom Nilai kustom, masukkan is:netapp.googleapis.com.

  9. Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

  1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Ganti PROJECT_ID dengan project ID project yang ingin Anda gunakan.

  2. Jalankan perintah org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat kumpulan penyimpanan dalam project. Proses ini akan gagal kecuali jika Anda menentukan kunci Cloud KMS.

Membatasi kunci Cloud KMS untuk project NetApp Volumes

Anda dapat menggunakan batasan constraints/gcp.restrictCmekCryptoKeyProjects untuk membatasi kunci Cloud KMS yang dapat digunakan untuk melindungi resource untuk project NetApp Volumes.

Anda dapat menentukan aturan, misalnya, "Untuk semua resource NetApp Volumes dalam projects/my-company-data-project, kunci Cloud KMS yang digunakan dalam project ini harus berasal dari projects/my-company-central-keys ATAU projects/team-specific-keys."

Gunakan petunjuk berikut untuk menerapkan kunci Cloud KMS untuk project NetApp Volumes menggunakan konsol Google Cloud atau Google Cloud CLI.

Konsol

  1. Buka halaman Kebijakan organisasi.

    Buka Organization policies

  2. Di kolom Filter, masukkan constraints/gcp.restrictCmekCryptoKeyProjects, lalu klik Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK.

  3. Klik Kelola Kebijakan.

  4. Di halaman Edit kebijakan, pilih Ganti kebijakan induk.

  5. Pilih Tambahkan aturan.

  6. Di bagian Policy values, pilih Custom.

  7. Di bagian Policy values, pilih Allow.

  8. Di kolom Nilai kustom, masukkan berikut ini:

    under:projects/KMS_PROJECT_ID

    Ganti KMS_PROJECT_ID dengan project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada.

    Misalnya, under:projects/my-kms-project.

  9. Klik Selesai, lalu klik Tetapkan kebijakan.

gcloud

  1. Membuat file sementara /tmp/policy.yaml untuk menyimpan kebijakan:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Dengan:

    • PROJECT_ID adalah project ID project yang ingin Anda gunakan.
    • KMS_PROJECT_ID adalah project ID tempat kunci Cloud KMS yang ingin Anda gunakan berada.

  2. Jalankan perintah org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Untuk memverifikasi bahwa kebijakan berhasil diterapkan, Anda dapat mencoba membuat kumpulan penyimpanan menggunakan kunci Cloud KMS dari project lain. Proses akan gagal.

Batasan

Batasan berikut berlaku saat menetapkan kebijakan organisasi.

Resource yang ada

Resource yang ada tidak tunduk pada kebijakan organisasi yang baru dibuat. Misalnya, jika Anda membuat kebijakan organisasi yang mengharuskan Anda menentukan CMEK untuk setiap operasi create, kebijakan tersebut tidak berlaku secara surut untuk instance dan rantai pencadangan yang ada. Resource tersebut masih dapat diakses tanpa CMEK. Jika Anda ingin menerapkan kebijakan ke resource yang ada seperti kumpulan penyimpanan, Anda harus menggantinya.

Izin yang diperlukan untuk menetapkan kebijakan organisasi

Anda memerlukan peran Administrator Kebijakan Organisasi yang diberikan di tingkat organisasi untuk menetapkan atau memperbarui kebijakan organisasi untuk tujuan pengujian.

Anda tetap dapat menentukan kebijakan yang hanya berlaku untuk project atau folder tertentu.

Dampak rotasi kunci Cloud KMS

NetApp Volumes tidak otomatis merotasi kunci enkripsi resource saat kunci Cloud KMS yang terkait dengan resource tersebut dirotasi.

  • Semua data di kumpulan penyimpanan yang ada akan terus dilindungi oleh versi kunci yang digunakan untuk membuat data tersebut.

  • Setiap pool penyimpanan yang baru dibuat akan menggunakan versi kunci utama yang ditentukan pada saat pembuatannya.

Saat Anda merotasi kunci, data yang dienkripsi dengan versi kunci sebelumnya tidak akan otomatis dienkripsi ulang. Untuk mengenkripsi data Anda dengan versi kunci terbaru, Anda harus mendekripsi versi kunci lama dari resource, lalu mengenkripsi ulang resource yang sama dengan versi kunci baru. Selain itu, memutar kunci tidak akan otomatis menonaktifkan atau menghancurkan versi kunci yang ada.

Untuk mengetahui petunjuk mendetail tentang cara melakukan setiap tugas ini, lihat panduan berikut:

Akses NetApp Volumes ke kunci Cloud KMS

Kunci Cloud KMS dianggap tersedia dan dapat diakses oleh NetApp Volumes dalam kondisi berikut:

  • Kunci diaktifkan
  • Akun layanan NetApp Volumes memiliki izin enkripsi dan dekripsi pada kunci

Langkah berikutnya