Menggunakan kebijakan organisasi standar

Halaman ini menjelaskan cara menambahkan kebijakan organisasi standar pada cluster dan pencadangan AlloyDB untuk PostgreSQL, yang memungkinkan Anda menerapkan batasan pada AlloyDB di tingkat project, folder, atau organisasi.

Kebijakan organisasi kunci enkripsi yang dikelola pelanggan (CMEK)

Anda dapat menggunakan kebijakan organisasi CMEK untuk mengontrol setelan CMEK dari cluster dan pencadangan AlloyDB. Kebijakan ini memungkinkan Anda mengontrol kunci Cloud KMS yang Anda gunakan untuk melindungi data Anda.

AlloyDB mendukung dua batasan kebijakan organisasi yang membantu memastikan perlindungan CMEK di seluruh organisasi:

• constraints/gcp.restrictNonCmekServices: Mewajibkan perlindungan CMEK untuk alloydb.googleapis.com. Saat Anda menambahkan batasan ini dan menambahkan alloydb.googleapis.com ke daftar kebijakan layanan Deny, AlloyDB akan menolak pembuatan cluster atau cadangan baru kecuali jika diaktifkan dengan CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects: Membatasi Cloud KMS CryptoKey yang dapat Anda gunakan untuk perlindungan CMEK dalam cluster dan cadangan AlloyDB. Dengan batasan ini, saat AlloyDB membuat cluster atau cadangan baru dengan CMEK, CryptoKey harus berasal dari project, folder, atau organisasi yang diizinkan.

Batasan ini hanya diterapkan pada cluster dan cadangan AlloyDB yang baru dibuat.

Untuk mengetahui informasi ringkasan selengkapnya, lihat kebijakan organisasi CMEK. Untuk informasi tentang batasan kebijakan organisasi CMEK, lihat Batasan kebijakan organisasi.

Sebelum memulai

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. Tambahkan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) ke akun pengguna atau layanan Anda dari halaman IAM & Admin.

    Buka halaman akun IAM

Menambahkan kebijakan organisasi CMEK

Untuk menambahkan kebijakan organisasi CMEK, ikuti langkah-langkah berikut:

1. Buka halaman Kebijakan organisasi.

   Buka halaman Kebijakan organisasi

2. Klik drop-down di menu bar konsol Google Cloud, lalu pilih project, folder, atau organisasi yang memerlukan kebijakan organisasi. Halaman Kebijakan organisasi menampilkan daftar batasan kebijakan organisasi yang tersedia.

3. Untuk menetapkan constraints/gcp.restrictNonCmekServices, ikuti langkah-langkah berikut:

   1. Filter batasan menggunakan ID: constraints/gcp.restrictNonCmekServices atau Name: Restrict which services may create resources without CMEK.
   2. Klik Nama batasan.
   3. Klik Edit.
   4. Klik Sesuaikan.
   5. Klik Tambahkan Aturan.
   6. Di bagian Nilai kebijakan, klik Kustom.
   7. Di bagian Jenis kebijakan, pilih Tolak.
   8. Di bagian Nilai kustom, masukkan alloydb.googleapis.com. Tindakan ini memastikan bahwa CMEK diterapkan saat membuat cluster dan pencadangan AlloyDB.

4. Untuk menetapkan constraints/gcp.restrictCmekCryptoKeyProjects, ikuti langkah-langkah berikut:

   1. Filter batasan ID: constraints/gcp.restrictCmekCryptoKeyProjects atau Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
   2. Klik Nama batasan.
   3. Klik Edit.
   4. Klik Sesuaikan.
   5. Klik Tambahkan Aturan.
   6. Di bagian Nilai kebijakan, klik Kustom.
   7. Di bagian Jenis kebijakan, pilih Izinkan.

   8. Di bagian Nilai kustom, masukkan resource menggunakan format berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID.

      Tindakan ini memastikan bahwa cluster dan pencadangan AlloyDB Anda hanya menggunakan kunci Cloud KMS dari project, folder, atau organisasi yang diizinkan.

5. Klik Done, lalu klik Save.

Langkah selanjutnya

• Pelajari lebih lanjut kunci enkripsi yang dikelola pelanggan (CMEK) untuk AlloyDB untuk PostgreSQL.
• Lihat Pengantar Layanan Kebijakan Organisasi untuk mempelajari kebijakan organisasi lebih lanjut.
• Pelajari lebih lanjut cara membuat dan mengelola kebijakan organisasi.
• Lihat daftar lengkap Batasan kebijakan organisasi yang telah ditentukan.
• Menghubungkan menggunakan IP publik.
• Buat instance utama.