使用預先定義的機構政策

本頁說明如何為 AlloyDB for PostgreSQL 叢集和備份檔新增預先定義的組織政策,以便在專案、資料夾或機構層級限制 AlloyDB。

客戶自行管理的加密金鑰 (CMEK) 機構政策

您可以使用 CMEK 機構政策,控管 AlloyDB 叢集和備份的 CMEK 設定。這項政策可讓您控管用於保護資料的 Cloud KMS 金鑰

AlloyDB 支援兩項組織政策限制,可協助確保整個機構採用 CMEK 保護措施:

  • constraints/gcp.restrictNonCmekServices:必須為 alloydb.googleapis.com 使用 CMEK 保護措施。新增這項限制並將 alloydb.googleapis.com 新增至服務的 Deny 政策清單後,除非啟用 CMEK,否則 AlloyDB 會拒絕建立新的叢集或備份。
  • constraints/gcp.restrictCmekCryptoKeyProjects:限制您可在 AlloyDB 叢集和備份中,用於 CMEK 保護的 Cloud KMS CryptoKey。設定這項限制後,當 AlloyDB 建立啟用 CMEK 的新叢集或備份時,CryptoKey 必須來自允許的專案、資料夾或機構。

這些限制只會強制套用至新建立的 AlloyDB 叢集和備份。

如需更多總覽資訊,請參閱「CMEK 組織政策」。如要瞭解 CMEK 組織政策限制,請參閱組織政策限制

事前準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. 如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI

  6. 如要初始化 gcloud CLI,請執行下列指令: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. 如果您使用外部識別資訊提供者 (IdP),請先 使用聯合身分登入 gcloud CLI

  11. 如要初始化 gcloud CLI,請執行下列指令: 

    gcloud init
  12. 在「IAM 與管理」頁面中,將機構政策管理員角色 (roles/orgpolicy.policyAdmin) 新增至使用者或服務帳戶。

    前往「IAM 帳戶」頁面

    13. 新增 CMEK 組織政策

    如要新增 CMEK 組織政策,請按照下列步驟操作:

    1. 前往「Organization policies」(機構政策) 頁面。

      前往「Organization policies」(組織政策) 頁面

    2. 按一下 Google Cloud 控制台選單列中的下拉式選單,然後選取需要機構政策的專案、資料夾或機構。「Organization policies」(機構政策) 頁面會顯示可用的機構政策限制清單。

    3. 如要設定 constraints/gcp.restrictNonCmekServices,請按照下列步驟操作:

      1. 使用 IDconstraints/gcp.restrictNonCmekServicesNameRestrict which services may create resources without CMEK 篩選限制。
      2. 按一下限制條件「名稱」
      3. 按一下 [編輯]
      4. 點按「自訂」
      5. 按一下 [新增規則]
      6. 在「政策值」下方,按一下「自訂」
      7. 在「政策類型」下方,選取「拒絕」
      8. 在「自訂值」下方輸入 alloydb.googleapis.com。這可確保在建立 AlloyDB 叢集和備份時,系統會強制執行 CMEK。

    4. 如要設定 constraints/gcp.restrictCmekCryptoKeyProjects,請按照下列步驟操作:

      1. 篩選限制 IDconstraints/gcp.restrictCmekCryptoKeyProjectsNameRestrict which projects may supply KMS CryptoKeys for CMEK
      2. 按一下限制條件「名稱」
      3. 按一下 [編輯]
      4. 點按「自訂」
      5. 按一下 [新增規則]
      6. 在「政策值」下方,按一下「自訂」
      7. 在「政策類型」下方,選取「允許」

      8. 在「自訂值」下方,使用下列格式輸入資源: under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDprojects/PROJECT_ID

        確保 AlloyDB 叢集和備份只使用允許專案、資料夾或機構的 Cloud KMS 金鑰。

    5. 依序按一下 [完成] 和 [儲存]

    後續步驟