Esta página describe el uso de restricciones de políticas de la organización con Apigee.
No todas las funciones de Apigee utilizan CMEK para el cifrado de datos confidenciales. Para garantizar que los datos que requieren cifrado con CMEK no utilicen inadvertidamente funciones que no están protegidas por CMEK, estas funciones se deshabilitarán para los proyectos con restricciones de CMEK hasta que cumplan con la normativa. Solo se deshabilitarán los nuevos usos de las funciones (creación de nuevos recursos o habilitación de un complemento). Las funciones y los recursos que ya estén en uso permanecerán disponibles y editables, pero no protegidos.
La creación de organizaciones de evaluación está bloqueada tanto por la API de organizaciones de Apigee de gcloud alpha como por el asistente de aprovisionamiento de evaluación . Al intentar acceder al asistente de aprovisionamiento de evaluación, verá el mensaje: La evaluación de Apigee no está disponible .
Para obtener más información sobre las funciones que están deshabilitadas para los proyectos restringidos por CMEK, consulte Restricciones de políticas de la organización .
Términos
En este tema se utilizan los siguientes términos:
| Término | Definición |
|---|---|
| CMEK | Clave de cifrado gestionada por el cliente. Consulte Claves de cifrado gestionadas por el cliente para obtener una descripción detallada. |
| restricciones de la política de la organización | Una restricción es un tipo particular de restricción contra una Google Cloud servicio o una lista de Google CloudServicios. En cuanto a CMEK, existen dos restricciones relevantes :
|
| Aplicación | Una garantía de que los sistemas backend de Apigee cumplirán con las restricciones de un proyecto (restricciones CMEK en este caso) |
| Prevalidación | Comportamientos de la interfaz de usuario que lo guían en la selección de configuraciones válidas en Apigee de acuerdo con las políticas de la organización CMEK y no exponen funciones que no son compatibles |
| Recursos | Recursos de Apigee como organizaciones e instancias |
Cómo restringir los servicios que no son CMEK
Esta sección describe cómo restringir servicios que no sean CMEK.
- Cumplir con los prerrequisitos .
- Seleccione su Proyecto en el Google Cloud consola.
- Crear una nueva restricción de política de la organización .
- Provisión Apigee .
Prerrequisitos
Usted debe:
- Tenga el rol de administrador de políticas de la organización . Para obtener los permisos necesarios para administrar políticas de la organización, solicite a su administrador que le otorgue el rol de IAM de administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulte Administrar el acceso . - Tener los prerrequisitos descritos en Introducción al aprovisionamiento .
- Utilice una organización paga (Suscripción o Pago por uso).
- Utilice la residencia de datos.
Proyecto abierto
En el Google Cloud consola, vaya a la página del Tablero .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
Crear una restricción de política de la organización
Las políticas de la organización se definen mediante los valores establecidos para cada restricción. Se configuran a nivel de este recurso, se heredan del recurso principal o se configuran según el comportamiento predeterminado administrado por Google. En este caso, se creará una restricción que requiere CMEK y se aplicará al proyecto y a todos los recursos que heredan de él.
Para garantizar que siempre se utilicen claves de cifrado administradas por el cliente al cifrar sus datos en Apigee, cree la siguiente restricción de política de organización:
En el Google Cloud consola, vaya a la página Políticas de la organización .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
- En el cuadro Filtro , ingrese:
constraints/gcp.restrictNonCmekServices
- Haga clic en Más , Editar política . Si la opción Editar está deshabilitada, no tendrá los permisos necesarios y deberá solicitar a su administrador que le otorgue el rol de IAM de administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Consulte los requisitos previos para obtener más información. - En Origen de la política , seleccione Anular la política principal . Este recurso tendrá una política única. En el siguiente paso, especificará cómo se gestionan las reglas de la política principal.
- Para la aplicación de políticas , seleccione una de las siguientes opciones:
- Reemplazar . Esta opción ignora la política del padre y utiliza estas reglas.
- Fusionar con el recurso principal . Esta opción añade reglas adicionales a las establecidas por el recurso principal.
Consulte Comprensión de la evaluación de la jerarquía para obtener una explicación de la herencia de políticas de la organización.
- Haga clic en Agregar una regla .
- Para Valores de política , seleccione Personalizado .
- Para el tipo de política , seleccione Denegar .
- Para valores personalizados , ingrese:
apigee.googleapis.com
- Haga clic en Listo .
- Haga clic en Establecer política . Se mostrará la página de detalles de la política .
Una vez configurada la política y seleccionado un proyecto que la herede o la utilice, estará listo para aprovisionar Apigee. Tenga en cuenta que no se garantiza la conformidad de los recursos de Apigee creados antes de configurar las políticas de organización de CMEK; solo los nuevos recursos creados después de la implementación de la política cumplirán con las restricciones de CMEK.
Ver también:
Provisión Apigee
El aprovisionamiento de Apigee donde tiene restricciones de políticas de la organización consta de los mismos pasos que el aprovisionamiento de Apigee donde no tiene restricciones de políticas de la organización; sin embargo, la interfaz de usuario le impide realizar selecciones que no son compatibles.
Esta sección describe dónde la interfaz de usuario lo guía al realizar selecciones.
En el Google Cloud consola, vaya a la página de Apigee .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
- En la página de bienvenida a la administración de API de Apigee , la configuración predeterminada está deshabilitada, ya que debe seleccionar CMEK explícitamente. Haga clic en Personalizar su configuración .
- Habilitar API : habilite las API requeridas como se describe en el Paso 1: Habilitar API requeridas .
- Configurar la red : configure la red como se describe en el Paso 2: Configurar la red .
Configurar el alojamiento y el cifrado :
Recorrido del usuario D: El cifrado administrado por el cliente, con residencia de datos, es el único recorrido del usuario relevante para las restricciones de políticas de la organización que restringen los servicios que no son CMEK.
- Haga clic en Editar para abrir el panel de Claves de alojamiento y cifrado .
- En la sección Tipo de cifrado , la clave de cifrado administrada por Google está deshabilitada y la clave de cifrado administrada por el cliente está habilitada y no se puede deshabilitar.
- Haga clic en Siguiente .
- En la sección Plano de control , la opción Habilitar residencia de datos está habilitada y no se puede deshabilitar.
- Continúe configurando el alojamiento y el cifrado como se describe en el paso 3.b. del recorrido del usuario D: Cifrado administrado por el cliente, con residencia de datos .
- Personalizar el enrutamiento de acceso : personalice el enrutamiento de acceso como se describe en el Paso 4: Personalizar el enrutamiento de acceso .
Cómo restringir los proyectos de claves criptográficas CMEK
Esta sección describe cómo restringir los proyectos de claves criptográficas CMEK.
Puede restringir qué proyectos pueden proporcionar claves de cifrado a través de otra restricción de política de la organización: constraints/gcp.restrictCmekCryptoKeyProjects Con esta restricción, permite incluir en la lista de proyectos desde los cuales se pueden usar claves de cifrado.
En cualquier lugar donde pueda seleccionar un CMEK, que se encuentra actualmente mientras se aprovisiona Apigee o se crea una instancia de Apigee, se aplica esta restricción.
Si el proyecto actual está seleccionado en el Google Cloud Si la consola no está permitida en la restricción restrictCmekCryptoKeyProjects , no podrá seleccionar ninguna clave en el cuadro de selección de claves de cifrado. En su lugar, deberá usar una clave de un proyecto permitido.
Prerrequisitos
Usted debe:
- Tenga el rol de administrador de políticas de la organización . Para obtener los permisos necesarios para administrar políticas de la organización, solicite a su administrador que le otorgue el rol de IAM de administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulte Administrar el acceso . - Tener los prerrequisitos descritos en Introducción al aprovisionamiento .
- Utilice una organización paga (suscripción o pago por uso)
- Utilizar la residencia de datos
- Disposición utilizando el Google Cloud consola (Suscripción o Pago por uso).
- Sepa qué proyecto contiene las claves que desea utilizar.
Proyecto abierto
En el Google Cloud consola, vaya a la página del Tablero .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
Crear una restricción de política de la organización
Las políticas de la organización se definen mediante los valores establecidos para cada restricción. Se configuran a nivel de este recurso, se heredan del recurso principal o se configuran con el comportamiento predeterminado administrado por Google. En este caso, se creará una restricción que solo permite claves de proyectos incluidos en la lista de permitidos. Esta restricción se aplicará al proyecto y a todos los recursos que hereden de él.
Para garantizar que las claves de cifrado administradas por el cliente se utilicen solo en proyectos específicos, agréguelas a una lista de permitidos:
En el Google Cloud consola, vaya a la página Políticas de la organización .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
- En el cuadro Filtro , ingrese:
restrictCmekCryptoKeyProjects
- Haga clic en Más , Editar política . Si la opción Editar está deshabilitada, no tendrá los permisos necesarios y deberá solicitar a su administrador que le otorgue el rol de IAM de administrador de políticas de la organización (
roles/orgpolicy.policyAdmin) en la organización. Consulte los requisitos previos para obtener más información. - En Origen de la política , seleccione Anular la política principal . Este recurso tendrá una política única. En el siguiente paso, especificará cómo se gestionan las reglas de la política principal.
- Para la aplicación de políticas , seleccione una de las siguientes opciones:
- Reemplazar . Esta opción ignora la política del padre y utiliza estas reglas.
- Fusionar con el recurso principal . Esta opción añade reglas adicionales a las establecidas por el recurso principal.
Consulte Comprensión de la evaluación de la jerarquía para obtener una explicación de la herencia de políticas de la organización.
- Haga clic en Agregar una regla .
- Para Valores de política , seleccione Personalizado .
- Para Tipo de política , seleccione Permitir .
- Para valores personalizados , ingrese:
projects/PROJECT_ID
Reemplace PROJECT_ID con el ID del proyecto donde se encuentran las claves de Cloud KMS que desea usar. Por ejemplo,
my-kms-project. - Haga clic en Listo .
- Haga clic en Establecer política . Se mostrará la página de detalles de la política .
Una vez configurada la política y seleccionado un proyecto que la herede o la utilice, estará listo para aprovisionar Apigee. Tenga en cuenta que no se garantiza la conformidad de los recursos de Apigee creados antes de configurar las políticas de organización de CMEK; solo los nuevos recursos creados después de la implementación de la política cumplirán con las restricciones de CMEK.
Ver también:
Provisión Apigee
El aprovisionamiento de Apigee donde tiene restricciones de políticas de la organización consta de los mismos pasos que el aprovisionamiento de Apigee donde no tiene restricciones de políticas de la organización; sin embargo, la interfaz de usuario le impide realizar selecciones que no son compatibles.
Esta sección describe dónde la interfaz de usuario lo guía al realizar selecciones.
En el Google Cloud consola, vaya a la página de Apigee .
- Seleccione su proyecto en el Google Cloud lista desplegable de la consola si aún no está seleccionada.
- En la página de administración de API de Bienvenido a Apigee , haga clic en Personalizar su configuración .
- Habilitar API : habilite las API requeridas como se describe en el Paso 1: Habilitar API requeridas .
- Configurar la red : configure la red como se describe en el Paso 2: Configurar la red .
Configurar el alojamiento y el cifrado :
Recorrido del usuario D: El cifrado administrado por el cliente, con residencia de datos, es el único recorrido del usuario relevante para las restricciones de políticas de la organización que restringen los servicios que no son CMEK.
- Haga clic en Editar para abrir el panel de Claves de alojamiento y cifrado .
- En la sección Tipo de cifrado , la clave de cifrado administrada por Google está deshabilitada y la clave de cifrado administrada por el cliente está habilitada y no se puede deshabilitar.
- Haga clic en Siguiente .
- En la sección Plano de control , la opción Habilitar residencia de datos está habilitada y no se puede deshabilitar.
- Continúe configurando el alojamiento y el cifrado como se describe en el paso 3.b. del recorrido del usuario D: Cifrado administrado por el cliente, con residencia de datos .
- Personalizar el enrutamiento de acceso : personalice el enrutamiento de acceso como se describe en el Paso 4: Personalizar el enrutamiento de acceso .
Utilice una clave de un proyecto incluido en la lista de permitidos
Para usar una clave de un proyecto permitido en Apigee, deberá ingresarla manualmente con su ID de recurso. Cualquier clave ingresada manualmente también se validará para garantizar que su proyecto sea válido según los proyectos permitidos en la restricción.
Cómo conseguir una Google Cloud ID de recurso KMS
Consulte: Obtener un ID de recurso de Cloud KMS
Solución de problemas
En la siguiente tabla se describen algunas condiciones de error comunes que pueden surgir con CMEK y las restricciones de políticas de la organización.
| Mensaje de error | Causa | Pasos a seguir |
|---|---|---|
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable trial org. CMEK is not supported for trial orgs. To use trial orgs, adjust the gcp.restrictNonCmekServices constraint for this project. | Intentó aprovisionar una organización de prueba donde existe una restricción de política de organización para el proyecto. | CMEK no es compatible con organizaciones de prueba/evaluación. Deberá actualizar la política de restricción de la organización constraints/gcp.restrictNonCmekServices para eliminar Apigee de la lista de servicios denegados y poder aprovisionar una organización de prueba. |
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create or enable global org. CMEK is not supported in location 'global', select another location or adjust the code constraint for this project. | Intentó aprovisionar una organización global donde existe una restricción de política de organización para el proyecto. | CMEK no es compatible con organizaciones globales. Deberá actualizar la política de restricción de la organización constraints/gcp.restrictNonCmekServices para eliminar Apigee de la lista de servicios denegados o usar una ubicación diferente para crear sus organizaciones. |
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a resource without specifying a KMS CryptoKey. Provide a KMS CryptoKey to use for this resource. | Intentó aprovisionar una organización donde existe una restricción de política de organización para el proyecto sin especificar una clave criptográfica KMS. | Ha configurado código en las políticas de la organización que requiere proporcionar una clave CMEK para cifrar sus datos. Deberá proporcionar la clave CMEK para poder crear una organización o instancias. Si no desea que se aplique la CMEK, puede actualizar la constraints/gcp.restrictNonCmekServices para eliminar Apigee de la lista de servicios denegados. |
Constraint constraints/gcp.restrictCmekCryptoKeyProjects violated for projects/my-project attempting to use projects/my-project/locations/my-location/keyRings/kr-1/cryptoKeys/ck-1 key. Use a key from a project that is allowed by | Intentó aprovisionar una organización donde existe una restricción de política de organización para el proyecto y especificó una clave criptográfica KMS que no está en la lista de permitidos. | Ha configurado constraints/gcp.restrictCmekCryptoKeyProjects en las políticas de la organización, que exigen que proporcione una clave CMEK de los proyectos permitidos que ha indicado. Deberá proporcionar la clave CMEK de un proyecto permitido para poder crear una organización o instancias. Como alternativa, puede actualizar la constraints/gcp.restrictCmekCryptoKeyProjects de la política de la organización para permitir claves de los proyectos específicos. Google Cloud proyecto que deseas. |
Constraint constraints/gcp.restrictNonCmekServices violated for projects/my-project attempting to create a portal. Integrated portals do not support the use of CMEK. To use integrated portals, adjust the gcp.restrictNonCmekServices policy constraint. | Intentó crear un portal donde existe una restricción de política de organización para el proyecto. | CMEK no es compatible con los portales integrados. Deberá actualizar la política de restricción de la organización constraints/gcp.restrictNonCmekServices para eliminar Apigee de la lista de servicios denegados y poder crear un nuevo portal. |