Usa políticas de la organización predefinidas

En esta página, se describe cómo agregar políticas de organización predefinidas en clústeres y copias de seguridad de AlloyDB para PostgreSQL, lo que te permite establecer restricciones en AlloyDB a nivel del proyecto, la carpeta o la organización.

Política de la organización sobre claves de encriptación administradas por el cliente (CMEK)

Puedes usar la política de la organización de CMEK para controlar la configuración de CMEK de tus clúster y copias de seguridad de AlloyDB. Esta política te permite controlar las claves de Cloud KMS que usas para proteger tus datos.

AlloyDB admite dos restricciones de políticas de la organización que ayudan a garantizar la protección de las CMEK en una organización:

• constraints/gcp.restrictNonCmekServices: Requiere protección de las CMEK para alloydb.googleapis.com. Cuando agregas esta restricción y agregas alloydb.googleapis.com a la lista de servicios de la política Deny, AlloyDB se niega a crear un clúster nuevo o una copia de seguridad, a menos que estén habilitadas con CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects: Limita las CryptoKeys de Cloud KMS que puedes usar para la protección de CMEK en los clústeres y las copias de seguridad de AlloyDB. Con esta restricción, cuando AlloyDB crea un clúster nuevo o una copia de seguridad con CMEK, la CryptoKey debe provenir de un proyecto, una carpeta o una organización permitidos.

Estas restricciones solo se aplican a las copias de seguridad y los clústeres de AlloyDB recién creados.

Si buscas información general, consulta Políticas de la organización relativas a CMEK. Para obtener información sobre las restricciones de las políticas de la organización relativas a CMEK, consulta Restricciones de las políticas de la organización.

Antes de comenzar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. Agrega el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu cuenta de usuario o servicio desde la página IAM y administración.

    Ir a la página Cuentas de IAM

Agrega la política de la organización de CMEK

Para agregar una política de la organización de CMEK, sigue estos pasos:

1. Ir a la página Políticas de la organización.

   Ir a la página Políticas de la organización

2. Haz clic en el menú desplegable de la barra de menú de la consola de Google Cloud y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización disponibles.

3. Para configurar constraints/gcp.restrictNonCmekServices, sigue estos pasos:

   1. Filtra la restricción con ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
   2. Haz clic en el Nombre de la restricción.
   3. Haz clic en Editar.
   4. Haz clic en Personalizar.
   5. Haga clic en Agregar regla.
   6. En Valores de la política, haz clic en Personalizados.
   7. En Tipos de política, selecciona Rechazar.
   8. En Valores personalizados, ingresa alloydb.googleapis.com. Esto garantiza que se aplique la CMEK mientras se crean clústeres y copias de seguridad de AlloyDB.

4. Para configurar constraints/gcp.restrictCmekCryptoKeyProjects, sigue estos pasos:

   1. Filtra para la restricción ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
   2. Haz clic en el Nombre de la restricción.
   3. Haz clic en Editar.
   4. Haz clic en Personalizar.
   5. Haga clic en Agregar regla.
   6. En Valores de la política, haz clic en Personalizados.
   7. En Tipos de política, selecciona Permitir.

   8. En Valores personalizados, ingresa el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

      Esto garantiza que tus clústeres y copias de seguridad de AlloyDB usen las claves de Cloud KMS solo del proyecto, la carpeta o la organización permitidos.

5. Haz clic en Listo y, luego, en Guardar.

¿Qué sigue?

• Obtén más información sobre las claves de encriptación administradas por el cliente (CMEK) para AlloyDB para PostgreSQL.
• Consulta Introducción al Servicio de las Políticas de la Organización para obtener más información sobre las políticas de la organización.
• Obtén más información para crear y administrar políticas de la organización.
• Consulta la lista completa de Restricciones de políticas de la organización predefinidas.
• Conéctate con una IP pública.
• Crea una instancia principal.