Applicare una policy dell'organizzazione CMEK

Google Cloud offre due vincoli dei criteri dell'organizzazione per applicare l'utilizzo di CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices viene utilizzato per richiedere la protezione CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects viene utilizzato per limitare le chiavi CMEK utilizzate per la protezione.

Le policy dell'organizzazione CMEK si applicano solo alle risorse create di recente all'interno dei servizi supportati Google Cloud .

Per saperne di più su come funziona, consulta la gerarchia delle risorse e le policy dell'organizzazione CMEK.Google Cloud

Controllare l'utilizzo di CMEK con una policy dell'organizzazione

NetApp Volumes si integra con i vincoli delle policy dell'organizzazione CMEK per consentirti di specificare i requisiti di conformità alla crittografia per le risorse NetApp Volumes nella tua organizzazione.

Questa integrazione ti consente di:

Richiedi CMEK per tutte le risorse NetApp Volumes

Una policy comune è richiedere l'utilizzo di chiavi CMEK per proteggere tutte le risorse di un'organizzazione. Puoi utilizzare il vincolo constraints/gcp.restrictNonCmekServices per applicare questi criteri in NetApp Volumes.

Se impostato, questo criterio dell'organizzazione causa l'esito negativo di tutte le richieste di creazione di risorse senza una chiave Cloud KMS specificata.

Dopo aver impostato questo criterio, questo si applica solo alle nuove risorse del progetto. Tutte le risorse esistenti senza chiavi Cloud KMS impostate continuano a esistere e sono accessibili senza problemi.

Utilizza le seguenti istruzioni per applicare l'utilizzo di CMEK per le risorse NetApp Volumes utilizzando la console Google Cloud o Google Cloud CLI.

Console

  1. Apri la pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel campo Filtro, inserisci constraints/gcp.restrictNonCmekServices, quindi fai clic su Limita i servizi che possono creare risorse senza CMEK.

  3. Fai clic su Gestisci criterio.

  4. Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  5. Seleziona Aggiungi una regola.

  6. In Valori policy, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Rifiuta.

  8. Nel campo Valori personalizzati, inserisci is:netapp.googleapis.com.

  9. Fai clic su Fine, quindi su Imposta policy.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Sostituisci PROJECT_ID con l'ID progetto del progetto che vuoi utilizzare.

  2. Esegui il comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un pool di archiviazione nel progetto. Il processo non va a buon fine a meno che tu non specifichi una chiave Cloud KMS.

Limita le chiavi Cloud KMS per il progetto NetApp Volumes

Puoi utilizzare il vincolo constraints/gcp.restrictCmekCryptoKeyProjects per limitare le chiavi Cloud KMS che puoi utilizzare per proteggere una risorsa per il progetto NetApp Volumes.

Ad esempio, potresti specificare una regola come "Per tutte le risorse NetApp Volumes in projects/my-company-data-project, le chiavi Cloud KMS utilizzate in questo progetto devono provenire da projects/my-company-central-keys O projects/team-specific-keys".

Utilizza le seguenti istruzioni per applicare le chiavi Cloud KMS per il progetto NetApp Volumes utilizzando la console Google Cloud o Google Cloud CLI.

Console

  1. Apri la pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Nel campo Filtro, inserisci constraints/gcp.restrictCmekCryptoKeyProjects, quindi fai clic su Limita i progetti che possono fornire CryptoKey KMS per CMEK.

  3. Fai clic su Gestisci criterio.

  4. Nella pagina Modifica policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  5. Seleziona Aggiungi una regola.

  6. In Valori policy, seleziona Personalizzato.

  7. In Tipo di criterio, seleziona Consenti.

  8. Nel campo Valori personalizzati, inserisci quanto segue:

    under:projects/KMS_PROJECT_ID

    Sostituisci KMS_PROJECT_ID con l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

    Ad esempio, under:projects/my-kms-project.

  9. Fai clic su Fine, quindi su Imposta policy.

gcloud

  1. Crea un file temporaneo /tmp/policy.yaml per archiviare il criterio:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Dove:

    • PROJECT_ID è l'ID progetto del progetto che vuoi utilizzare.
    • KMS_PROJECT_ID è l'ID progetto in cui si trovano le chiavi Cloud KMS che vuoi utilizzare.

  2. Esegui il comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Per verificare che il criterio sia stato applicato correttamente, puoi provare a creare un pool di archiviazione utilizzando una chiave Cloud KMS di un altro progetto. L'operazione non riuscirà.

Limitazioni

Quando imposti un criterio dell'organizzazione, si applicano le seguenti limitazioni.

Risorse esistenti

Le risorse esistenti non sono soggette alle policy dell'organizzazione appena create. Ad esempio, se crei una policy dell'organizzazione che richiede di specificare una CMEK per ogni operazione create, la policy non viene applicata retroattivamente alle istanze e alle catene di backup esistenti. Queste risorse sono ancora accessibili senza una chiave CMEK. Se vuoi applicare il criterio alle risorse esistenti, ad esempio ai pool di archiviazione, devi sostituirli.

Autorizzazioni richieste per impostare una policy dell'organizzazione

Per impostare o aggiornare la policy dell'organizzazione a scopo di test, devi disporre del ruolo Amministratore delle policy dell'organizzazione concesso a livello di organizzazione.

Puoi comunque specificare una policy che si applica solo a un progetto o a una cartella specifici.

Impatto della rotazione della chiave Cloud KMS

NetApp Volumes non ruota automaticamente la chiave di crittografia di una risorsa quando viene ruotata la chiave Cloud KMS associata alla risorsa.

  • Tutti i dati nei pool di archiviazione esistenti continuano a essere protetti dalla versione della chiave con cui sono stati creati.

  • Tutti i pool di archiviazione appena creati utilizzano la versione della chiave primaria specificata al momento della creazione.

Quando ruoti una chiave, i dati criptati con le versioni precedenti della chiave non vengono criptati nuovamente in modo automatico. Per criptare i dati con l'ultima versione della chiave, devi decriptare la vecchia versione della chiave dalla risorsa e poi ricriptare la stessa risorsa con la nuova versione della chiave. Inoltre, la rotazione di una chiave non disabilita o elimina automaticamente le versioni della chiave esistenti.

Per istruzioni dettagliate su come eseguire ciascuna di queste attività, consulta le seguenti guide:

Accesso di NetApp Volumes alla chiave Cloud KMS

Una chiave Cloud KMS è considerata disponibile e accessibile da NetApp Volumes nelle seguenti condizioni:

  • La chiave è abilitata
  • Il account di servizio NetApp Volumes dispone delle autorizzazioni di crittografia e decrittografia per la chiave

Passaggi successivi