Usar políticas predefinidas da organização

Esta página descreve como adicionar políticas de organização predefinidas em clusters e backups do AlloyDB para PostgreSQL, o que permite restringir o AlloyDB no nível do projeto, da pasta ou da organização.

Política da organização para chaves de criptografia gerenciadas pelo cliente (CMEK)

Você pode usar a política da organização de CMEK para controlar as configurações de CMEK dos seus clusters e backups do AlloyDB. Essa política permite controlar as chaves do Cloud KMS usadas para proteger seus dados.

O AlloyDB é compatível com duas restrições de política da organização que ajudam a garantir a proteção CMEK em uma organização:

• constraints/gcp.restrictNonCmekServices: requer proteção com CMEK para o alloydb.googleapis.com. Quando você adiciona essa restrição e o alloydb.googleapis.com à lista de serviços da política Deny, o AlloyDB se recusa a criar um cluster ou um backup, a menos que eles estejam ativados com CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects: limita as CryptoKeys do Cloud KMS que podem ser usadas para proteção CMEK em backups e clusters do AlloyDB. Com essa restrição, quando o AlloyDB cria um novo cluster ou um backup com CMEK, a CryptoKey precisa vir de um projeto, uma pasta ou uma organização permitida.

Essas restrições são aplicadas apenas em clusters e backups recém-criados do AlloyDB.

Para mais informações sobre a visão geral, consulte Políticas da organização CMEK. Para informações sobre restrições da política da organização CMEK, consulte Restrições da política da organização.

Antes de começar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. Adicione o papel Administrador da política da organização (roles/orgpolicy.policyAdmin) à sua conta de usuário ou de serviço da página IAM e administrador.

    Acessar a página de contas do IAM

Adicionar a política da organização de CMEK

Para adicionar uma política da organização para CMEK, siga estas etapas:

1. Acessar a página Políticas da organização.

   Acessar a página "Políticas da organização"

2. Clique no menu suspenso na barra de menus do console do Google Cloud e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização mostra uma lista das restrições de políticas da organização disponíveis.

3. Para definir constraints/gcp.restrictNonCmekServices, siga estas etapas:

   1. Filtre a restrição usando o ID: constraints/gcp.restrictNonCmekServices ou o Name: Restrict which services may create resources without CMEK.
   2. Clique em Nome da restrição.
   3. Clique em Editar.
   4. Clique em Personalizar.
   5. Clique em Adicionar regra.
   6. Em Valores da política, clique em Personalizado.
   7. Em Tipos de política, selecione Negar.
   8. Em Valores personalizados, digite alloydb.googleapis.com. Isso garante que o CMEK seja aplicado ao criar clusters e backups do AlloyDB.

4. Para definir constraints/gcp.restrictCmekCryptoKeyProjects, siga estas etapas:

   1. Filtre para a restrição ID: constraints/gcp.restrictCmekCryptoKeyProjects ou Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
   2. Clique em Nome da restrição.
   3. Clique em Editar.
   4. Clique em Personalizar.
   5. Clique em Adicionar regra.
   6. Em Valores da política, clique em Personalizado.
   7. Em Tipos de política, selecione Permitir.

   8. Em Valores personalizados, digite o recurso usando o seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

      Isso garante que os clusters e backups do AlloyDB usem as chaves do Cloud KMS apenas do projeto, da pasta ou da organização permitidos.

5. Clique em Concluído e em Salvar.

A seguir

• Saiba mais sobre as chaves de criptografia gerenciadas pelo cliente (CMEK) do AlloyDB para PostgreSQL.
• Consulte Introdução ao serviço Política da organização para saber mais sobre as políticas da organização.
• Saiba mais sobre como criar e gerenciar políticas da organização.
• Veja a lista completa de restrições da política da organização predefinidas.
• Conecte usando um IP público.
• Crie uma instância principal.