Auf dieser Seite wird beschrieben, wie Sie AlloyDB for PostgreSQL-Clustern und ‑Sicherungen vordefinierte Organisationsrichtlinien hinzufügen, um AlloyDB auf Projekt-, Ordner- oder Organisationsebene einzuschränken.
Organisationsrichtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)
Mit der CMEK-Organisationsrichtlinie können Sie die CMEK-Einstellungen Ihrer AlloyDB-Cluster und ‑Sicherungen steuern. Mit dieser Richtlinie können Sie die Cloud KMS-Schlüssel verwalten, mit denen Sie Ihre Daten schützen.
AlloyDB unterstützt zwei Einschränkungen für Organisationsrichtlinien, die den CMEK-Schutz in einer Organisation gewährleisten:
constraints/gcp.restrictNonCmekServices
: Erfordert CMEK-Schutz füralloydb.googleapis.com
. Wenn Sie diese Einschränkung hinzufügen undalloydb.googleapis.com
in die RichtlinienlisteDeny
der Dienste aufnehmen, erstellt AlloyDB keinen neuen Cluster oder kein Back-up, es sei denn, sie sind mit CMEK aktiviert.constraints/gcp.restrictCmekCryptoKeyProjects
: Begrenzt, welche Cloud KMS-CryptoKeys für den CMEK-Schutz in AlloyDB-Clustern und ‑Sicherungen verwendet werden können. Wenn diese Einschränkung in AlloyDB einen neuen Cluster oder eine Sicherung mit CMEK erstellt, muss CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation stammen.
Diese Einschränkungen werden nur für neu erstellte AlloyDB-Cluster und ‑Sicherungen durchgesetzt.
Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien. Informationen zu CMEK-Organisationsrichtlinieneinschränkungen finden Sie unter Organisationsrichtlinieneinschränkungen.
Hinweis
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (
roles/orgpolicy.policyAdmin
) Ihrem Nutzer- oder Dienstkonto hinzu.
CMEK-Organisationsrichtlinie hinzufügen
So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie in der Menüleiste der Google Cloud Console auf das Drop-down-Menü und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.
So legen Sie
constraints/gcp.restrictNonCmekServices
fest:- Filtern Sie nach der Einschränkung mit
ID
:constraints/gcp.restrictNonCmekServices
oderName
:Restrict which services may create resources without CMEK
. - Klicken Sie auf den Namen Name der Einschränkung.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Anpassen.
- Klicken Sie auf Regel hinzufügen.
- Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
- Wählen Sie unter Richtlinientypen die Option Ablehnen aus.
- Geben Sie unter Benutzerdefinierte Werte
alloydb.googleapis.com
ein. So wird sichergestellt, dass CMEK beim Erstellen von AlloyDB-Clustern und ‑Sicherungen erzwungen wird.
- Filtern Sie nach der Einschränkung mit
So legen Sie
constraints/gcp.restrictCmekCryptoKeyProjects
fest:- Filtern Sie nach der Einschränkung
ID
:constraints/gcp.restrictCmekCryptoKeyProjects
oderName
:Restrict which projects may supply KMS CryptoKeys for CMEK
. - Klicken Sie auf den Namen Name der Einschränkung.
- Klicken Sie auf Bearbeiten.
- Klicken Sie auf Anpassen.
- Klicken Sie auf Regel hinzufügen.
- Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
- Wählen Sie unter Richtlinientypen die Option Zulassen aus.
Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein:
under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
oderprojects/PROJECT_ID
.So wird sichergestellt, dass für Ihre AlloyDB-Cluster und ‑Sicherungen nur die Cloud KMS-Schlüssel aus dem zulässigen Projekt, Ordner oder der zulässigen Organisation verwendet werden.
- Filtern Sie nach der Einschränkung
Klicken Sie auf Fertig und dann auf Speichern.
Nächste Schritte
- Weitere Informationen zu vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) für AlloyDB for PostgreSQL
- Weitere Informationen zu Organisationsrichtlinien finden Sie unter Einführung in den Organisationsrichtliniendienst.
- Organisationsrichtlinien erstellen und verwalten
- Eine vollständige Liste der vordefinierten Einschränkungen für Organisationsrichtlinien finden Sie hier.
- Verbindung über eine öffentliche IP-Adresse herstellen
- Erstellen Sie eine primäre Instanz.