使用预定义组织政策

本页介绍了如何在 AlloyDB for PostgreSQL 集群和备份上添加预定义的组织政策，以便在项目、文件夹或组织级层对 AlloyDB 施加限制。

客户管理的加密密钥 (CMEK) 组织政策

您可以使用 CMEK 组织政策来控制 AlloyDB 集群和备份的 CMEK 设置。借助此政策，您可以控制用于保护数据的 Cloud KMS 密钥。

AlloyDB 支持两种组织政策限制条件，以帮助确保整个组织中的 CMEK 保护：

• constraints/gcp.restrictNonCmekServices：要求对 alloydb.googleapis.com 使用 CMEK 保护。如果添加此限制条件并将 alloydb.googleapis.com 添加到服务的 Deny 政策列表中，则除非启用了 CMEK，否则 AlloyDB 会拒绝创建新集群或备份。
• constraints/gcp.restrictCmekCryptoKeyProjects：限制您可以在 AlloyDB 集群和备份中用于 CMEK 保护的 Cloud KMS CryptoKey。添加此限制条件后，当 AlloyDB 使用 CMEK 创建新集群或备份时，CryptoKey 必须来自允许的项目、文件夹或组织。

这些限制条件仅在新创建的 AlloyDB 集群和备份上强制执行。

如需了解详情，请参阅 CMEK 组织政策。如需了解 CMEK 组织政策限制条件，请参阅组织政策限制条件。

准备工作

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. 通过 IAM 和管理页面，为您的用户或服务账号添加 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

    转到“IAM 账号”页面

添加 CMEK 组织政策

如需添加 CMEK 组织政策，请按以下步骤操作：

1. 转到组织政策页面。

   转到“组织政策”页面

2. 点击 Google Cloud 控制台菜单栏中的下拉菜单，然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。

3. 如需设置 constraints/gcp.restrictNonCmekServices，请按以下步骤操作：

   1. 使用 ID: constraints/gcp.restrictNonCmekServices 或 Name: Restrict which services may create resources without CMEK 过滤限制条件。
   2. 点击限制条件的名称。
   3. 点击修改。
   4. 点击自定义。
   5. 点击添加规则。
   6. 在政策值下方，点击自定义。
   7. 在政策类型下，选择拒绝。
   8. 在自定义值下，输入 alloydb.googleapis.com。 这可确保在创建 AlloyDB 集群和备份时强制执行 CMEK。

4. 如需设置 constraints/gcp.restrictCmekCryptoKeyProjects，请按以下步骤操作：

   1. 针对 ID: constraints/gcp.restrictCmekCryptoKeyProjects 或 Name: Restrict which projects may supply KMS CryptoKeys for CMEK 限制条件进行过滤。
   2. 点击限制条件的名称。
   3. 点击修改。
   4. 点击自定义。
   5. 点击添加规则。
   6. 在政策值下方，点击自定义。
   7. 在政策类型下，选择允许。

   8. 在自定义值下，按照以下格式输入资源：under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 projects/PROJECT_ID。

      这样可确保您的 AlloyDB 集群和备份仅使用允许的项目、文件夹或组织中的 Cloud KMS 密钥。

5. 点击完成，然后点击保存。

后续步骤

• 详细了解 AlloyDB for PostgreSQL 的客户管理的加密密钥 (CMEK)。
• 查看组织政策服务简介，以详细了解组织政策。
• 详细了解如何创建和管理组织政策。
• 查看预定义组织政策限制条件的完整列表。
• 使用公共 IP 地址连接。
• 创建主实例。