Vordefinierte Organisationsrichtlinien verwenden

Auf dieser Seite wird beschrieben, wie Sie AlloyDB for PostgreSQL-Clustern und ‑Sicherungen vordefinierte Organisationsrichtlinien hinzufügen, um AlloyDB auf Projekt-, Ordner- oder Organisationsebene einzuschränken.

Organisationsrichtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Mit der CMEK-Organisationsrichtlinie können Sie die CMEK-Einstellungen Ihrer AlloyDB-Cluster und ‑Sicherungen steuern. Mit dieser Richtlinie können Sie die Cloud KMS-Schlüssel verwalten, mit denen Sie Ihre Daten schützen.

AlloyDB unterstützt zwei Einschränkungen für Organisationsrichtlinien, die den CMEK-Schutz in einer Organisation gewährleisten:

  • constraints/gcp.restrictNonCmekServices: Erfordert CMEK-Schutz für alloydb.googleapis.com. Wenn Sie diese Einschränkung hinzufügen und alloydb.googleapis.com in die Richtlinienliste Deny der Dienste aufnehmen, erstellt AlloyDB keinen neuen Cluster oder kein Back-up, es sei denn, sie sind mit CMEK aktiviert.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Begrenzt, welche Cloud KMS-CryptoKeys für den CMEK-Schutz in AlloyDB-Clustern und ‑Sicherungen verwendet werden können. Wenn diese Einschränkung in AlloyDB einen neuen Cluster oder eine Sicherung mit CMEK erstellt, muss CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation stammen.

Diese Einschränkungen werden nur für neu erstellte AlloyDB-Cluster und ‑Sicherungen durchgesetzt.

Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien. Informationen zu CMEK-Organisationsrichtlinieneinschränkungen finden Sie unter Organisationsrichtlinieneinschränkungen.

Hinweis

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) Ihrem Nutzer- oder Dienstkonto hinzu.

    Zur Seite "IAM-Konten"

CMEK-Organisationsrichtlinie hinzufügen

So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Weiter zur Seite "Organisationsrichtlinien"

  2. Klicken Sie in der Menüleiste der Google Cloud Console auf das Drop-down-Menü und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

  3. So legen Sie constraints/gcp.restrictNonCmekServices fest:

    1. Filtern Sie nach der Einschränkung mit ID: constraints/gcp.restrictNonCmekServices oder Name: Restrict which services may create resources without CMEK.
    2. Klicken Sie auf den Namen Name der Einschränkung.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Anpassen.
    5. Klicken Sie auf Regel hinzufügen.
    6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
    7. Wählen Sie unter Richtlinientypen die Option Ablehnen aus.
    8. Geben Sie unter Benutzerdefinierte Werte alloydb.googleapis.com ein. So wird sichergestellt, dass CMEK beim Erstellen von AlloyDB-Clustern und ‑Sicherungen erzwungen wird.
  4. So legen Sie constraints/gcp.restrictCmekCryptoKeyProjects fest:

    1. Filtern Sie nach der Einschränkung ID: constraints/gcp.restrictCmekCryptoKeyProjects oder Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
    2. Klicken Sie auf den Namen Name der Einschränkung.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Anpassen.
    5. Klicken Sie auf Regel hinzufügen.
    6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
    7. Wählen Sie unter Richtlinientypen die Option Zulassen aus.
    8. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.

      So wird sichergestellt, dass für Ihre AlloyDB-Cluster und ‑Sicherungen nur die Cloud KMS-Schlüssel aus dem zulässigen Projekt, Ordner oder der zulässigen Organisation verwendet werden.

  5. Klicken Sie auf Fertig und dann auf Speichern.

Nächste Schritte