このページでは、AlloyDB for PostgreSQL クラスタとバックアップに事前定義された組織のポリシーを追加する方法について説明します。これにより、プロジェクト、フォルダ、組織レベルで AlloyDB に制限を適用できます。
顧客管理の暗号鍵(CMEK)の組織のポリシー
CMEK 組織のポリシーを使用して、AlloyDB クラスタとバックアップの CMEK 設定を制御できます。このポリシーを使用すると、データの保護に使用する Cloud KMS 鍵を制御できます。
AlloyDB は、組織全体の CMEK の保護に役立つ 2 つの組織のポリシー制約をサポートしています。
constraints/gcp.restrictNonCmekServices
:alloydb.googleapis.com
に対する CMEK 保護が必要です。この制約と、alloydb.googleapis.com
をサービスのDeny
ポリシーリストに追加すると、CMEK で有効になっている場合を除き、AlloyDB は新しいクラスタまたはバックアップの作成を拒否します。constraints/gcp.restrictCmekCryptoKeyProjects
: AlloyDB クラスタとバックアップの CMEK 保護に使用できる Cloud KMS CryptoKey を制限します。この制約により、AlloyDB が CMEK を使用して新しいクラスタまたはバックアップを作成するときに、CryptoKey は許可されたプロジェクト、フォルダ、または組織から取得する必要があります。
これらの制約は、新しく作成された AlloyDB クラスタとバックアップにのみ適用されます。
概要について詳しくは、CMEK の組織のポリシーをご覧ください。CMEK の組織のポリシーの制約については、組織のポリシーの制約をご覧ください。
始める前に
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- [IAM と管理] ページから、組織ポリシー管理者ロール(
roles/orgpolicy.policyAdmin
)をユーザー アカウントまたはサービス アカウントに追加します。
CMEK の組織のポリシーを追加する
CMEK に関する組織のポリシーを追加する手順は次のとおりです。
[組織のポリシー] ページに移動します。
Google Cloud コンソールのメニューバーでプルダウンをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織のポリシー制約のリストが表示されます。
constraints/gcp.restrictNonCmekServices
を設定する手順は次のとおりです。ID
:constraints/gcp.restrictNonCmekServices
またはName
:Restrict which services may create resources without CMEK
を使用して、制約をフィルタします。- 制約の [名前] をクリックします。
- [編集] をクリックします。
- [カスタマイズ] をクリックします。
- [ルールの追加] をクリックします。
- [ポリシーの値] で [カスタム] をクリックします。
- [ポリシーの種類] で [拒否] を選択します。
- [カスタム値] で「
alloydb.googleapis.com
」を入力します。これにより、AlloyDB クラスタとバックアップの作成中に CMEK が適用されます。
constraints/gcp.restrictCmekCryptoKeyProjects
を設定する手順は次のとおりです。- 制約
ID
:constraints/gcp.restrictCmekCryptoKeyProjects
またはName
:Restrict which projects may supply KMS CryptoKeys for CMEK
をフィルタします。 - 制約の [名前] をクリックします。
- [編集] をクリックします。
- [カスタマイズ] をクリックします。
- [ルールの追加] をクリックします。
- [ポリシーの値] で [カスタム] をクリックします。
- [ポリシーの種類] で [許可] を選択します。
[カスタム値] で、
under:organizations/ORGANIZATION_ID
、under:folders/FOLDER_ID
、またはprojects/PROJECT_ID
の形式でリソースを入力します。これにより、AlloyDB クラスタとバックアップで、許可されたプロジェクト、フォルダ、または組織の Cloud KMS 鍵のみが使用されるようになります。
- 制約
[完了] をクリックし、[保存] をクリックします。
次のステップ
- AlloyDB for PostgreSQL の顧客管理の暗号鍵(CMEK)の詳細を確認する。
- 組織のポリシーの詳細について、組織のポリシー サービスの概要を確認する。
- 組織のポリシーの作成と管理の方法について学習する。
- 事前定義された組織のポリシーの制約の完全なリストを確認する。
- パブリック IP を使用して接続する。
- プライマリ インスタンスを作成します。