このページでは、Cloud Key Management Service に適用される組織のポリシーの制約に関する補足情報を提供します。制約を使用すると、プロジェクト全体または組織全体にリソースの動作を適用できます。
Cloud KMS の制約
次の制約を組織のポリシーに適用して、Cloud Key Management Service に関連付けることが可能です。
リソース ロケーションを適用する
API 名: constraints/gcp.resourceLocations
resourceLocations 制約を適用する場合は、1 つ以上のロケーションを指定します。設定した新しいリソース(キーリング、鍵、鍵バージョンなど)の作成元は、指定したロケーションに限定されます。
制約が適用される前に作成またはインポートされた他のロケーションの鍵は、引き続き使用できます。ただし、許可されていないロケーションに新しい鍵バージョンが作成されると、鍵のローテーション(新しい一次鍵バージョンの自動作成)が失敗します。
許可される保護レベル
API 名: constraints/cloudkms.allowedProtectionLevels
allowedProtectionLevels 制約を適用する場合は、1 つ以上の保護レベルを指定します。設定した新しい鍵、鍵バージョン、インポート ジョブは、指定された保護レベルのいずれかを使用する必要があります。
制約が適用される前に作成された他の保護レベルの鍵は、引き続き使用できます。ただし、結果が許可されていない保護レベルが設定された新しい鍵バージョンになる場合、鍵のローテーション(新しいメインの鍵バージョンの自動作成)が失敗します。
次のステップ
- 組織のポリシーに適用されるリソース階層について学習します。
- Google Cloud コンソールでの制約と組織のポリシーの操作方法については、組織のポリシーの作成と管理をご覧ください。
- gcloud での制約と組織のポリシーの操作方法について詳しくは、制約の使用をご覧ください。
projects.setOrgPolicyなどの関連する API メソッドについては、Resource Manager API のリファレンス ドキュメントをご覧ください。