Utilizzare i criteri dell'organizzazione predefiniti

Questa pagina descrive come aggiungere criteri dell'organizzazione predefiniti ai backup e ai cluster AlloyDB per PostgreSQL, il che ti consente di applicare limitazioni ad AlloyDB a livello di progetto, cartella o organizzazione.

Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)

Puoi utilizzare il criterio dell'organizzazione CMEK per controllare le impostazioni CMEK dei tuoi cluster e dei tuoi backup AlloyDB. Questo criterio ti consente di controllare le chiavi Cloud KMS che utilizzi per proteggere i tuoi dati.

AlloyDB supporta due vincoli dei criteri dell'organizzazione che contribuiscono a garantire la protezione CMEK in un'organizzazione:

• constraints/gcp.restrictNonCmekServices: richiede la protezione CMEK peralloydb.googleapis.com. Quando aggiungi questo vincolo e alloydb.googleapis.com all'elenco di servizi delle norme Deny, AlloyDB rifiuta di creare un nuovo cluster o un backup, a meno che non siano attivati con CMEK.
• constraints/gcp.restrictCmekCryptoKeyProjects: limita le chiavi di crittografia Cloud KMS che puoi utilizzare per la protezione CMEK nei cluster e nei backup di AlloyDB. Con questo vincolo, quando AlloyDB crea un nuovo cluster o un backup con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.

Questi vincoli vengono applicati solo ai backup e ai cluster AlloyDB appena creati.

Per ulteriori informazioni di panoramica, consulta Criteri dell'organizzazione CMEK. Per informazioni sui vincoli delle policy dell'organizzazione CMEK, consulta Vincoli delle policy dell'organizzazione.

Prima di iniziare

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. Aggiungi il ruolo Amministratore delle norme dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo account utente o di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

Aggiungi il criterio CMEK dell'organizzazione

Per aggiungere un criterio dell'organizzazione per le chiavi CMEK:

1. Vai alla pagina Criteri dell'organizzazione.

   Vai alla pagina Norme dell'organizzazione

2. Fai clic sul menu a discesa nella barra dei menu della console Google Cloud e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Norme dell'organizzazione mostra un elenco dei vincoli delle norme dell'organizzazione disponibili.

3. Per impostare constraints/gcp.restrictNonCmekServices:

   1. Filtra per il vincolo utilizzando ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
   2. Fai clic sul nome del vincolo.
   3. Fai clic su Modifica.
   4. Fai clic su Personalizza.
   5. Fai clic su Aggiungi regola.
   6. In Valori criterio, fai clic su Personalizzato.
   7. In Tipi di criteri, seleziona Rifiuta.
   8. In Valori personalizzati, inserisci alloydb.googleapis.com. In questo modo, la CMEK viene applicata durante la creazione di backup e cluster AlloyDB.

4. Per impostare constraints/gcp.restrictCmekCryptoKeyProjects:

   1. Filtra per il vincolo ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
   2. Fai clic sul nome del vincolo.
   3. Fai clic su Modifica.
   4. Fai clic su Personalizza.
   5. Fai clic su Aggiungi regola.
   6. In Valori criterio, fai clic su Personalizzato.
   7. In Tipi di criteri, seleziona Consenti.

   8. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

      In questo modo, i cluster e i backup di AlloyDB utilizzeranno le chiavi Cloud KMS solo del progetto, della cartella o dell'organizzazione consentiti.

5. Fai clic su Fine e poi su Salva.

Passaggi successivi

• Scopri di più sulle chiavi di crittografia gestite dal cliente (CMEK) per AlloyDB per PostgreSQL.
• Per saperne di più sui criteri dell'organizzazione, consulta la Introduzione al servizio Policy dell'organizzazione.
• Scopri di più su come creare e gestire i criteri dell'organizzazione.
• Consulta l'elenco completo dei vincoli delle policy dell'organizzazione predefiniti.
• Connettiti utilizzando un IP pubblico.
• Crea un'istanza principale.