Utilizzare i criteri dell'organizzazione predefiniti

Questa pagina descrive come aggiungere policy dell'organizzazione predefinite a cluster e backup AlloyDB per PostgreSQL, il che ti consente di imporre limitazioni ad AlloyDB a livello di progetto, cartella o organizzazione.

Policy dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)

Puoi utilizzare il criterio dell'organizzazione CMEK per controllare le impostazioni CMEK dei tuoi cluster e backup AlloyDB. Questo criterio ti consente di controllare le chiavi Cloud KMS che utilizzi per proteggere i tuoi dati.

AlloyDB supporta due vincoli dei criteri dell'organizzazione che contribuiscono a garantire la protezione CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices: richiede la protezione CMEK per alloydb.googleapis.com. Quando aggiungi questo vincolo e alloydb.googleapis.com all'elenco dei servizi della policy Deny, AlloyDB si rifiuta di creare un nuovo cluster o un backup a meno che non siano abilitati con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita le CryptoKey KMS che puoi utilizzare per la protezione CMEK nei cluster e nei backup AlloyDB. Con questo vincolo, quando AlloyDB crea un nuovo cluster o un backup con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.

Questi vincoli vengono applicati solo ai cluster e ai backup AlloyDB appena creati.

Per ulteriori informazioni generali, consulta Policy dell'organizzazione CMEK. Per informazioni sui vincoli delle policy dell'organizzazione CMEK, consulta la pagina Vincoli delle policy dell'organizzazione.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  6. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

  11. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  12. Aggiungi il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo utente o account di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

    13. Aggiungi la policy dell'organizzazione CMEK

    Per aggiungere una policy dell'organizzazione CMEK:

    1. Vai alla pagina Policy dell'organizzazione.

      Vai alla pagina Policy dell'organizzazione

    2. Fai clic sul menu a discesa nella barra dei menu della console Google Cloud , poi seleziona il progetto, la cartella o l'organizzazione che richiede la policy dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

    3. Per impostare constraints/gcp.restrictNonCmekServices:

      1. Filtra il vincolo utilizzando ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
      2. Fai clic sul nome del vincolo.
      3. Fai clic su Modifica.
      4. Fai clic su Personalizza.
      5. Fai clic su Aggiungi regola.
      6. Nella sezione Valori policy, fai clic su Personalizzato.
      7. In Tipi di policy, seleziona Rifiuta.
      8. In Valori personalizzati, inserisci alloydb.googleapis.com. In questo modo, la CMEK viene applicata durante la creazione di cluster AlloyDB e backup.

    4. Per impostare constraints/gcp.restrictCmekCryptoKeyProjects:

      1. Filtra per il vincolo ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Fai clic sul nome del vincolo.
      3. Fai clic su Modifica.
      4. Fai clic su Personalizza.
      5. Fai clic su Aggiungi regola.
      6. Nella sezione Valori policy, fai clic su Personalizzato.
      7. In Tipi di policy, seleziona Consenti.

      8. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

        In questo modo, i cluster e i backup AlloyDB utilizzano le chiavi Cloud KMS solo del progetto, della cartella o dell'organizzazione consentiti.

    5. Fai clic su Fine e poi su Salva.

    Passaggi successivi