Aplicar uma política da organização de CMEK

OGoogle Cloud oferece duas restrições de política da organização para aplicar o uso da CMEK em uma organização:

  • constraints/gcp.restrictNonCmekServices é usado para exigir proteção com CMEK.

  • constraints/gcp.restrictCmekCryptoKeyProjects é usado para limitar quais chaves de CMEK são usadas para proteção.

As políticas da organização de CMEK só se aplicam aos recursos recém-criados nos serviços Google Cloud com suporte.

Para mais informações sobre como isso funciona, consulte hierarquia de recursos doGoogle Cloud e políticas da organização de CMEK.

Controlar o uso de CMEK com uma política da organização

O NetApp Volumes se integra às restrições da política da organização do CMEK para permitir que você especifique os requisitos de conformidade de criptografia para os recursos do NetApp Volumes na sua organização.

Com essa integração, é possível:

Exigir CMEKs para todos os recursos do NetApp Volumes

Uma política comum é exigir que as CMEKs sejam usadas para proteger todos os recursos em uma organização. É possível usar a restrição constraints/gcp.restrictNonCmekServices para aplicar essa política no NetApp Volumes.

Se definida, essa política da organização faz com que todas as solicitações de criação de recursos sem uma chave especificada do Cloud KMS falhem.

Após definir essa política, ela será aplicada somente a novos recursos no projeto. Os recursos atuais sem as chaves do Cloud KMS definidas continuam existindo e podem ser acessados sem problemas.

Siga estas instruções para aplicar o uso da CMEK aos recursos do NetApp Volumes usando o console Google Cloud ou a Google Cloud CLI.

Console

  1. Abra a página Políticas da organização.

    Acessar as políticas da organização

  2. No campo Filtro, insira constraints/gcp.restrictNonCmekServices e clique em Restringir quais serviços podem criar recursos sem CMEK.

  3. Clique em Gerenciar política.

  4. Na página Editar política, selecione Substituir a política do editor principal.

  5. Selecione Adicionar uma regra.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Negar.

  8. No campo Valores personalizados, insira is:netapp.googleapis.com.

  9. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictNonCmekServices
  spec:
    rules:
    - values:
        deniedValues:
        - is:netapp.googleapis.com

    Substitua PROJECT_ID pelo ID do projeto que você quer usar.

  2. Execute o comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar um pool de armazenamento no projeto. O processo falhará a menos que você especifique uma chave do Cloud KMS.

Restringir chaves do Cloud KMS para o projeto do NetApp Volumes

É possível usar a restrição constraints/gcp.restrictCmekCryptoKeyProjects para restringir as chaves do Cloud KMS que podem ser usadas para proteger um recurso em um projeto do NetApp Volumes.

É possível especificar uma regra, por exemplo, "Para todos os recursos do NetApp Volumes em projects/my-company-data-project, as chaves do Cloud KMS usadas nesse projeto precisam vir de projects/my-company-central-keys OU projetos/chaves específicas da equipe."

Use as instruções a seguir para aplicar chaves do Cloud KMS no projeto NetApp Volumes usando o console Google Cloud ou a Google Cloud CLI.

Console

  1. Abra a página Políticas da organização.

    Acessar as políticas da organização

  2. No campo Filtro, insira constraints/gcp.restrictCmekCryptoKeyProjects e clique em Restringir quais projetos podem fornecer CryptoKeys do KMS para CMEK.

  3. Clique em Gerenciar política.

  4. Na página Editar política, selecione Substituir a política do editor principal.

  5. Selecione Adicionar uma regra.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Permitir.

  8. No campo Valores personalizados, insira o seguinte:

    under:projects/KMS_PROJECT_ID

    Substitua KMS_PROJECT_ID pelo ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

    Por exemplo, under:projects/my-kms-project

  9. Clique em Concluído e em Definir política.

gcloud

  1. Crie um arquivo temporário /tmp/policy.yaml para armazenar a política:

      name: projects/PROJECT_ID/policies/gcp.restrictCmekCryptoKeyProjects
  spec:
    rules:
    - values:
        allowedValues:
        - under:projects/KMS_PROJECT_ID

    Em que:

    • PROJECT_ID é o ID do projeto que você quer usar.
    • KMS_PROJECT_ID é o ID do projeto em que as chaves do Cloud KMS que você quer usar estão localizadas.

  2. Execute o comando org-policies set-policy:

      gcloud org-policies set-policy /tmp/policy.yaml

Para verificar se a política foi aplicada, tente criar um pool de armazenamento usando uma chave do Cloud KMS de um projeto diferente. O processo vai falhar.

Limitações

As limitações a seguir se aplicam ao definir uma política da organização.

Recursos atuais

Os recursos atuais não estão sujeitos às políticas da organização recém-criadas. Por exemplo, se você criar uma política da organização que exija a especificação de uma CMEK para cada operação de create, ela não será aplicada retroativamente às instâncias e cadeias de backup atuais. Esses recursos ainda podem ser acessados sem uma CMEK. Se você quiser aplicar a política a recursos atuais, como pools de armazenamento, substitua-os.

Permissões necessárias para definir uma política da organização

Você precisa ter o papel de administrador da política da organização concedido no nível da organização para definir ou atualizar a política da organização para fins de teste.

Ainda é possível especificar uma política que se aplique apenas a um projeto ou pasta específicos.

Impacto do rodízio de chaves do Cloud KMS

O NetApp Volumes não alterna automaticamente a chave de criptografia de um recurso quando a chave do Cloud KMS associada a ele é alternada.

  • Todos os dados nos pools de armazenamento atuais continuam sendo protegidos pela versão da chave com que foram criados.

  • Todos os pools de armazenamento recém-criados usam a versão da chave primária especificada no momento da criação.

Quando você faz a rotação de uma chave, os dados que foram criptografados com versões anteriores não são recriptografados automaticamente. Para criptografar seus dados com a versão mais recente da chave, descriptografe a versão antiga da chave do recurso e recriptografe o mesmo recurso com a nova versão da chave. Além disso, fazer a rotação de uma chave não desativa ou destrói automaticamente nenhuma versão de chave atual.

Para instruções detalhadas sobre como realizar cada uma dessas tarefas, consulte os seguintes guias:

Acesso do NetApp Volumes à chave do Cloud KMS

Uma chave do Cloud KMS é considerada disponível e acessível pelo NetApp Volumes nas seguintes condições:

  • a chave está ativada
  • A conta de serviço do NetApp Volumes tem permissões de criptografia e descriptografia na chave.

A seguir