事前定義された組織のポリシーを使用する

このページでは、AlloyDB for PostgreSQL クラスタとバックアップに事前定義された組織のポリシーを追加する方法について説明します。これにより、プロジェクト、フォルダ、組織レベルで AlloyDB に制限を適用できます。

顧客管理の暗号鍵(CMEK)の組織のポリシー

CMEK 組織のポリシーを使用して、AlloyDB クラスタとバックアップの CMEK 設定を制御できます。このポリシーを使用すると、データの保護に使用する Cloud KMS 鍵を制御できます。

AlloyDB は、組織全体の CMEK の保護に役立つ 2 つの組織のポリシー制約をサポートしています。

  • constraints/gcp.restrictNonCmekServices: alloydb.googleapis.com に対する CMEK 保護が必要です。この制約と、alloydb.googleapis.com をサービスの Deny ポリシーリストに追加すると、CMEK で有効になっている場合を除き、AlloyDB は新しいクラスタまたはバックアップの作成を拒否します。
  • constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB クラスタとバックアップの CMEK 保護に使用できる Cloud KMS CryptoKey を制限します。この制約により、AlloyDB が CMEK を使用して新しいクラスタまたはバックアップを作成するときに、CryptoKey は許可されたプロジェクト、フォルダ、または組織から取得する必要があります。

これらの制約は、新しく作成された AlloyDB クラスタとバックアップにのみ適用されます。

概要について詳しくは、CMEK の組織のポリシーをご覧ください。CMEK の組織のポリシーの制約については、組織のポリシーの制約をご覧ください。

始める前に

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. [IAM と管理] ページから、組織ポリシー管理者ロール(roles/orgpolicy.policyAdmin)をユーザー アカウントまたはサービス アカウントに追加します。

    IAM アカウントのページに移動

CMEK の組織のポリシーを追加する

CMEK に関する組織のポリシーを追加する手順は次のとおりです。

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. Google Cloud コンソールのメニューバーでプルダウンをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシー制約のリストが表示されます。

  3. constraints/gcp.restrictNonCmekServices を設定する手順は次のとおりです。

    1. ID: constraints/gcp.restrictNonCmekServices または Name: Restrict which services may create resources without CMEK を使用して、制約をフィルタします。
    2. 制約の [名前] をクリックします。
    3. [編集] をクリックします。
    4. [カスタマイズ] をクリックします。
    5. [ルールの追加] をクリックします。
    6. [ポリシーの値] で [カスタム] をクリックします。
    7. [ポリシーの種類] で [拒否] を選択します。
    8. [カスタム値] で「alloydb.googleapis.com」を入力します。これにより、AlloyDB クラスタとバックアップの作成中に CMEK が適用されます。
  4. constraints/gcp.restrictCmekCryptoKeyProjects を設定する手順は次のとおりです。

    1. 制約 ID: constraints/gcp.restrictCmekCryptoKeyProjects または Name: Restrict which projects may supply KMS CryptoKeys for CMEK をフィルタします。
    2. 制約の [名前] をクリックします。
    3. [編集] をクリックします。
    4. [カスタマイズ] をクリックします。
    5. [ルールの追加] をクリックします。
    6. [ポリシーの値] で [カスタム] をクリックします。
    7. [ポリシーの種類] で [許可] を選択します。
    8. [カスタム値] で、under:organizations/ORGANIZATION_IDunder:folders/FOLDER_ID、または projects/PROJECT_ID の形式でリソースを入力します。

      これにより、AlloyDB クラスタとバックアップで、許可されたプロジェクト、フォルダ、または組織の Cloud KMS 鍵のみが使用されるようになります。

  5. [完了] をクリックし、[保存] をクリックします。

次のステップ