Use políticas da organização predefinidas

Esta página descreve como adicionar políticas de organização predefinidas em clusters e cópias de segurança do AlloyDB for PostgreSQL, o que lhe permite aplicar restrições ao AlloyDB ao nível do projeto, da pasta ou da organização.

Política da organização de chaves de encriptação geridas pelo cliente (CMEK)

Pode usar a política da organização CMEK para controlar as definições de CMEK dos seus clusters e cópias de segurança do AlloyDB. Esta política permite-lhe controlar as chaves do Cloud KMS que usa para proteger os seus dados.

O AlloyDB suporta duas restrições de políticas da organização que ajudam a garantir a proteção CMEK numa organização:

  • constraints/gcp.restrictNonCmekServices: requer proteção CMEK para o alloydb.googleapis.com. Quando adiciona esta restrição e adiciona o alloydb.googleapis.com à lista de serviços da política Deny, o AlloyDB recusa-se a criar um novo cluster ou uma cópia de segurança, a menos que estejam ativados com a CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita as CryptoKeys do Cloud KMS que pode usar para proteção CMEK em clusters e cópias de segurança do AlloyDB. Com esta restrição, quando o AlloyDB cria um novo cluster ou uma cópia de segurança com CMEK, a CryptoKey tem de ser proveniente de um projeto, uma pasta ou uma organização permitidos.

Estas restrições só são aplicadas a clusters e cópias de segurança do AlloyDB criados recentemente.

Para mais informações gerais, consulte as políticas organizacionais de CMEK. Para obter informações sobre as restrições da política da organização de CMEK, consulte o artigo Restrições da política da organização.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
  12. Adicione a função administrador da política da organização (roles/orgpolicy.policyAdmin) ao seu utilizador ou conta de serviço na página IAM e administração.

    Aceda à página de contas do IAM

    13. Adicione a política da organização CMEK

    Para adicionar uma política da organização de CMEK, siga estes passos:

    1. Aceda à página Políticas da organização.

      Aceda à página Políticas da organização

    2. Clique no menu pendente na Google Cloud barra de menu da consola e, de seguida, selecione o projeto, a pasta ou a organização que requer a política de organização. A página Políticas da organização apresenta uma lista de restrições das políticas da organização disponíveis.

    3. Para definir constraints/gcp.restrictNonCmekServices, siga estes passos:

      1. Filtre a restrição através de ID: constraints/gcp.restrictNonCmekServices ou Name: Restrict which services may create resources without CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Edit.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores de políticas, clique em Personalizado.
      7. Em Tipos de políticas, selecione Recusar.
      8. Em Valores personalizados, introduza alloydb.googleapis.com. Isto garante que a CMEK é aplicada durante a criação de clusters e cópias de segurança do AlloyDB.

    4. Para definir constraints/gcp.restrictCmekCryptoKeyProjects, siga estes passos:

      1. Filtre pela restrição ID: constraints/gcp.restrictCmekCryptoKeyProjects ou Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Edit.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores de políticas, clique em Personalizado.
      7. Em Tipos de políticas, selecione Permitir.

      8. Em Valores personalizados, introduza o recurso no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

        Isto garante que os seus clusters e cópias de segurança do AlloyDB usam as chaves do Cloud KMS apenas do projeto, da pasta ou da organização permitidos.

    5. Clique em Concluído e, de seguida, clique em Guardar.

    O que se segue?