Usar políticas de organización predefinidas

En esta página se describe cómo añadir políticas de organización predefinidas en clústeres y copias de seguridad de AlloyDB para PostgreSQL, lo que te permite aplicar restricciones en AlloyDB a nivel de proyecto, carpeta u organización.

Política de organización de claves de cifrado gestionadas por el cliente (CMEK)

Puedes usar la política de organización de CMEK para controlar la configuración de CMEK de tus clústeres y copias de seguridad de AlloyDB. Esta política te permite controlar las claves de Cloud KMS que usas para proteger tus datos.

AlloyDB admite dos restricciones de política de organización que ayudan a asegurar la protección con CMEK en toda una organización:

  • constraints/gcp.restrictNonCmekServices: requiere protección con CMEK para el alloydb.googleapis.com. Cuando añades esta restricción y el alloydb.googleapis.com a la lista de servicios de la política Deny, AlloyDB no crea un clúster ni una copia de seguridad a menos que estén habilitados con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita las claves criptográficas de Cloud KMS que puedes usar para la protección con CMEK en clústeres y copias de seguridad de AlloyDB. Con esta restricción, cuando AlloyDB crea un clúster o una copia de seguridad con CMEK, la CryptoKey debe proceder de un proyecto, una carpeta o una organización permitidos.

Estas restricciones solo se aplican a los clústeres y las copias de seguridad de AlloyDB que se creen.

Para obtener más información general, consulta Políticas de organización de CMEK. Para obtener información sobre las restricciones de las políticas de organización de CMEK, consulta Restricciones de las políticas de organización.

Antes de empezar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  6. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.

  11. Para inicializar gcloud CLI, ejecuta el siguiente comando: 

    gcloud init
  12. Añade el rol Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu usuario o cuenta de servicio desde la página IAM y administración.

    Ir a la página de cuentas de IAM

    13. Añadir la política de organización de CMEK

    Para añadir una política de organización de CMEK, sigue estos pasos:

    1. Ve a la página Políticas de la organización.

      Ir a la página Políticas de la organización

    2. Haga clic en el menú desplegable de la Google Cloud barra de menú de la consola y, a continuación, seleccione el proyecto, la carpeta o la organización que requiera la política de la organización. En la página Políticas de organización se muestra una lista de las restricciones de las políticas de organización disponibles.

    3. Para configurar constraints/gcp.restrictNonCmekServices, sigue estos pasos:

      1. Filtra la restricción con el ID: constraints/gcp.restrictNonCmekServices o el Name: Restrict which services may create resources without CMEK.
      2. Haga clic en el Nombre de la restricción.
      3. Haz clic en Editar.
      4. Haz clic en Personalizar.
      5. Haz clic en Añadir regla.
      6. En Valores de la política, haga clic en Personalizado.
      7. En Tipos de política, selecciona Denegar.
      8. En Valores personalizados, introduce alloydb.googleapis.com. De esta forma, se garantiza que se aplique la CMEK al crear clústeres y copias de seguridad de AlloyDB.

    4. Para configurar constraints/gcp.restrictCmekCryptoKeyProjects, sigue estos pasos:

      1. Filtra por la restricción ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Haga clic en el Nombre de la restricción.
      3. Haz clic en Editar.
      4. Haz clic en Personalizar.
      5. Haz clic en Añadir regla.
      6. En Valores de la política, haga clic en Personalizado.
      7. En Tipos de política, selecciona Permitir.

      8. En Valores personalizados, introduce el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

        De esta forma, te aseguras de que tus clústeres y copias de seguridad de AlloyDB solo usen las claves de Cloud KMS del proyecto, la carpeta o la organización permitidos.

    5. Haz clic en Hecho y en Guardar.

    Siguientes pasos