En esta página, se describen las políticas de la organización de AlloyDB para PostgreSQL, que los administradores de la organización usan para establecer restricciones sobre cómo los usuarios configuran clústeres y copias de seguridad en esa organización.
Los proyectos, las carpetas y las organizaciones son recursos de contenedor organizados en una jerarquía de recursos principal-secundario. Una organización es el nodo raíz de esa jerarquía. Para obtener más información, consulta Jerarquía de recursos.
Las políticas de la organización contienen reglas, llamadas restricciones, que el administrador de la organización establece en un proyecto, una carpeta o una organización. Las restricciones aplican una política en todos los clústeres y copias de seguridad. Por ejemplo, si intentas crear un clúster o una copia de seguridad en una entidad que tiene una política de la organización, la restricción ejecuta una verificación para garantizar que la configuración del clúster o de la copia de seguridad cumpla con los requisitos de la restricción. Si la verificación falla, AlloyDB no crea el clúster ni el recurso de copia de seguridad.
Cuando agregas proyectos a una organización o carpeta que usa una política de la organización, los proyectos heredan las restricciones de esa política.
Para obtener más información sobre las políticas de la organización, consulta Introducción al Servicio de políticas de la organización, Restricciones y Información sobre la evaluación de jerarquías.
Las siguientes políticas de la organización son específicas de AlloyDB:
Políticas de la organización predefinidas
Para comenzar, puedes usar la configuración de la clave de encriptación administrada por el cliente (CMEK) de los clústeres y las copias de seguridad de AlloyDB. Para obtener más detalles, consulta Cómo usar políticas de la organización predefinidas. Para obtener un control detallado y personalizable sobre otros parámetros de configuración compatibles, usa restricciones personalizadas. Para obtener más información, consulta Usa políticas de la organización personalizadas.
Políticas de la organización relativas a claves de encriptación administradas por el cliente (CMEK)
AlloyDB admite las siguientes restricciones de políticas de la organización:
constraints/gcp.restrictNonCmekServices: Requiere protección con CMEK para la API dealloydb.googleapis.com. Cuando agregas esta restricción yalloydb.googleapis.coma la lista de servicios de la políticaDeny, AlloyDB se niega a crear un clúster nuevo o un recurso de copia de seguridad, a menos que el clúster nuevo o el recurso de copia de seguridad estén habilitados con CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: Limita las CryptoKeys de Cloud KMS que se pueden usar para la protección con CMEK en los clústeres y las copias de seguridad de AlloyDB. Cuando AlloyDB crea un clúster o una copia de seguridad nuevos con la CMEK y esta restricción, la CryptoKey debe provenir de un proyecto, una carpeta o una organización permitidos.
Estas restricciones ayudan a garantizar la protección de las CMEK en toda la organización y solo se aplican a los clústeres y las copias de seguridad de AlloyDB recién creados. Para obtener más información, consulta Políticas de la organización de CMEK y Restricciones de las políticas de la organización.
Políticas de la organización personalizadas
Para obtener un control detallado y personalizable sobre la configuración, puedes crear restricciones personalizadas y usarlas en una política personalizada de la organización. Usa políticas personalizadas de la organización para mejorar la seguridad, el cumplimiento y la administración.
Para obtener información sobre cómo crear políticas de la organización personalizadas, consulta Usa políticas de la organización personalizadas. También puedes ver una lista de las operaciones y restricciones personalizadas admitidas.
Reglas de aplicación de políticas de la organización
AlloyDB aplica la política de la organización para las siguientes operaciones:
- Creación de una instancia
- Actualización de instancias
- Creación del clúster
- Creación de copias de seguridad
Al igual que todas las restricciones de políticas de la organización, los cambios de política no se aplican de forma retroactiva a los clústeres y las copias de seguridad existentes. A continuación, se incluyen algunos ejemplos:
- Una política nueva no afecta a las instancias, los clústeres ni las copias de seguridad existentes.
- A menos que un usuario cambie la configuración de la instancia, el clúster o la copia de seguridad de un estado de cumplimiento a un estado de no cumplimiento con la consola de Google Cloud , la CLI de gcloud o RPC, la configuración existente de la instancia, el clúster o la copia de seguridad sigue siendo válida.
- Una actualización de mantenimiento programada no genera la aplicación de una política, ya que el mantenimiento no cambia la configuración de las instancias, los clústeres ni las copias de seguridad.
¿Qué sigue?
- Usa políticas de la organización predefinidas.
- Obtén información sobre cómo funciona la IP privada con AlloyDB.
- Obtén más información para configurar servicios privados para AlloyDB.
- Obtén más información sobre el servicio de políticas de la organización.
- Obtén más información sobre las restricciones de las políticas de la organización.