Utiliser des règles d'administration prédéfinies

Cette page explique comment ajouter des règles d'administration prédéfinies sur les clusters et les sauvegardes AlloyDB pour PostgreSQL, ce qui vous permet d'appliquer des restrictions à AlloyDB au niveau du projet, du dossier ou de l'organisation.

Règle d'administration des clés de chiffrement gérées par le client (CMEK)

Vous pouvez utiliser la règle d'administration CMEK pour contrôler les paramètres CMEK de vos clusters et sauvegardes AlloyDB. Cette règle vous permet de contrôler les clés Cloud KMS que vous utilisez pour protéger vos données.

AlloyDB accepte deux contraintes de règle d'administration qui contribuent à assurer la protection CMEK dans l'ensemble d'une organisation:

• constraints/gcp.restrictNonCmekServices: nécessite une protection CMEK pour alloydb.googleapis.com. Lorsque vous ajoutez cette contrainte et que vous ajoutez alloydb.googleapis.com à la liste des services de la règle Deny, AlloyDB refuse de créer un cluster ou une sauvegarde, sauf s'ils sont activés avec CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects: limite les CryptoKeys Cloud KMS que vous pouvez utiliser pour la protection CMEK dans les clusters et les sauvegardes AlloyDB. Avec cette contrainte, lorsque AlloyDB crée un cluster ou une sauvegarde avec CMEK, la clé cryptographique doit provenir d'un projet, d'un dossier ou d'une organisation autorisés.

Ces contraintes ne sont appliquées qu'aux clusters et sauvegardes AlloyDB nouvellement créés.

Pour en savoir plus, consultez la page Règles d'administration CMEK. Pour en savoir plus sur les contraintes des règles d'administration CMEK, consultez la page Contraintes liées aux règles d'administration.

Avant de commencer

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. Ajoutez le rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) à votre compte utilisateur ou de service depuis la page IAM et admin.

    Accéder à la page des comptes IAM

Ajouter la règle d'administration CMEK

Pour ajouter une règle d'administration CMEK, procédez comme suit:

1. Accédez à la page Règles d'administration.

   Accéder à la page "Règles d'administration"

2. Cliquez sur le menu déroulant dans la barre de menu de la console Google Cloud, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche la liste des contraintes de règles d'administration disponibles.

3. Pour définir constraints/gcp.restrictNonCmekServices, procédez comme suit:

   1. Filtrez la liste sur la contrainte à l'aide de ID: constraints/gcp.restrictNonCmekServices ou Name: Restrict which services may create resources without CMEK.
   2. Cliquez sur le nom de la contrainte.
   3. Cliquez sur Modifier.
   4. Cliquez sur Personnaliser.
   5. Cliquez sur Add rule (Ajouter une règle).
   6. Sous Valeurs de règles, cliquez sur Personnalisé.
   7. Sous Types de règles, sélectionnez Refuser.
   8. Sous Valeurs personnalisées, saisissez alloydb.googleapis.com. Cela garantit que CMEK est appliqué lors de la création de clusters et de sauvegardes AlloyDB.

4. Pour définir constraints/gcp.restrictCmekCryptoKeyProjects, procédez comme suit:

   1. Filtrez la liste sur la contrainte ID: constraints/gcp.restrictCmekCryptoKeyProjects ou Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
   2. Cliquez sur le nom de la contrainte.
   3. Cliquez sur Modifier.
   4. Cliquez sur Personnaliser.
   5. Cliquez sur Add rule (Ajouter une règle).
   6. Sous Valeurs de règles, cliquez sur Personnalisé.
   7. Sous Types de règles, sélectionnez Autoriser.

   8. Sous Valeurs personnalisées, saisissez la ressource au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

      Cela garantit que vos clusters et sauvegardes AlloyDB n'utilisent que les clés Cloud KMS du projet, du dossier ou de l'organisation autorisés.

5. Cliquez sur OK, puis sur Enregistrer.

Étape suivante

• En savoir plus sur les clés de chiffrement gérées par le client (CMEK) pour AlloyDB pour PostgreSQL
• Pour en savoir plus sur les règles d'administration, consultez la page Présentation du service de règles d'administration.
• Découvrez comment créer et gérer des règles d'administration.
• Consultez la liste complète des contraintes prédéfinies liées aux règles d'administration.
• Se connecter à l'aide d'une adresse IP publique
• Créez une instance principale.