Usa políticas de la organización predefinidas

En esta página, se describe cómo agregar políticas de la organización predefinidas en clústeres y copias de seguridad de AlloyDB para PostgreSQL, lo que te permite establecer restricciones en AlloyDB a nivel de proyecto, carpeta u organización.

Política de la organización sobre claves de encriptación administradas por el cliente (CMEK)

Puedes usar la política de la organización de CMEK para controlar la configuración de CMEK de tus clústeres y copias de seguridad de AlloyDB. Esta política te permite controlar las claves de Cloud KMS que usas para proteger tus datos.

AlloyDB admite dos restricciones de políticas de la organización que ayudan a garantizar la protección de las CMEK en una organización:

  • constraints/gcp.restrictNonCmekServices: Requiere protección de CMEK para alloydb.googleapis.com. Cuando agregas esta restricción y agregas alloydb.googleapis.com a la lista de servicios de la política Deny, AlloyDB se niega a crear un clúster o una copia de seguridad nuevos, a menos que estén habilitados con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Limita las CryptoKeys de Cloud KMS que puedes usar para la protección con CMEK en clústeres y copias de seguridad de AlloyDB. Con esta restricción, cuando AlloyDB crea un clúster nuevo o una copia de seguridad con CMEK, la CryptoKey debe provenir de un proyecto, una carpeta o una organización permitidos.

Estas restricciones solo se aplican a los clústeres y las copias de seguridad de AlloyDB recién creados.

Si buscas información general, consulta Políticas de la organización relativas a CMEK. Para obtener información sobre las restricciones de las políticas de la organización relativas a CMEK, consulta Restricciones de las políticas de la organización.

Antes de comenzar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

  6. Para inicializar la CLI de gcloud, ejecuta el siguiente comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.

  11. Para inicializar la CLI de gcloud, ejecuta el siguiente comando: 

    gcloud init
  12. Agrega el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu cuenta de usuario o servicio desde la página IAM y administración.

    Ir a la página Cuentas de IAM

    13. Agrega la política de la organización de CMEK

    Para agregar una política de la organización de CMEK, sigue estos pasos:

    1. Ir a la página Políticas de la organización.

      Ir a la página Políticas de la organización

    2. Haz clic en el menú desplegable de la Google Cloud barra de menú de la consola y, luego, selecciona el proyecto, la carpeta o la organización que requiere la política de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

    3. Para configurar constraints/gcp.restrictNonCmekServices, sigue estos pasos:

      1. Filtra la restricción con ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
      2. Haz clic en el Nombre de la restricción.
      3. Haz clic en Editar.
      4. Haz clic en Personalizar.
      5. Haga clic en Agregar regla.
      6. En Valores de la política, haz clic en Personalizados.
      7. En Tipos de política, selecciona Rechazar.
      8. En Valores personalizados, ingresa alloydb.googleapis.com. Esto garantiza que se aplique la CMEK durante la creación de clústeres y copias de seguridad de AlloyDB.

    4. Para configurar constraints/gcp.restrictCmekCryptoKeyProjects, sigue estos pasos:

      1. Filtra para la restricción ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Haz clic en el Nombre de la restricción.
      3. Haz clic en Editar.
      4. Haz clic en Personalizar.
      5. Haga clic en Agregar regla.
      6. En Valores de la política, haz clic en Personalizados.
      7. En Tipos de política, selecciona Permitir.

      8. En Valores personalizados, ingresa el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

        Esto garantiza que tus clústeres y copias de seguridad de AlloyDB usen las claves de Cloud KMS solo del proyecto, la carpeta o la organización permitidos.

    5. Haz clic en Listo y, luego, en Guardar.

    ¿Qué sigue?