Halaman ini menjelaskan kebijakan organisasi AlloyDB untuk PostgreSQL, yang digunakan administrator organisasi untuk menetapkan batasan tentang cara pengguna mengonfigurasi cluster dan cadangan dalam organisasi tersebut.
Project, folder, dan organisasi adalah resource penampung yang disusun dalam hierarki resource induk-turunan. Organisasi adalah node root dalam hierarki tersebut. Untuk mengetahui informasi selengkapnya, lihat Hierarki resource.
Kebijakan organisasi berisi aturan, yang disebut batasan, yang ditempatkan administrator organisasi di project, folder, atau organisasi. Batasan akan menerapkan kebijakan di semua cluster dan cadangan. Misalnya, jika Anda mencoba membuat cluster atau cadangan di entity yang memiliki kebijakan organisasi, batasan tersebut akan menjalankan pemeriksaan untuk memastikan konfigurasi cluster atau cadangan mengikuti persyaratan batasan tersebut. Jika pemeriksaan gagal, AlloyDB tidak akan membuat cluster atau resource cadangan.
Saat Anda menambahkan project ke organisasi atau folder yang menggunakan kebijakan organisasi, project tersebut akan mewarisi batasan kebijakan tersebut.
Untuk mengetahui informasi selengkapnya tentang kebijakan organisasi, lihat Pengantar Layanan Kebijakan Organisasi, Batasan, dan Memahami evaluasi hierarki.
Kebijakan organisasi berikut khusus untuk AlloyDB:
Kebijakan organisasi standar
Untuk memulai, Anda dapat menggunakan setelan Kunci Enkripsi yang Dikelola Pelanggan (CMEK) pada cluster dan cadangan AlloyDB. Untuk mengetahui detail selengkapnya, lihat Menggunakan kebijakan organisasi yang telah ditentukan. Untuk kontrol yang terperinci dan dapat disesuaikan atas setelan lain yang didukung, gunakan batasan kustom. Untuk mengetahui informasi selengkapnya, lihat Menggunakan kebijakan organisasi kustom.
Kebijakan organisasi kunci enkripsi yang dikelola pelanggan (CMEK)
AlloyDB mendukung batasan kebijakan organisasi berikut:
constraints/gcp.restrictNonCmekServices: memerlukan perlindungan CMEK untukalloydb.googleapis.comAPI. Saat Anda menambahkan batasan ini danalloydb.googleapis.comke daftar kebijakan layananDeny, AlloyDB akan menolak pembuatan cluster baru atau resource cadangan kecuali jika cluster baru atau resource cadangan diaktifkan dengan CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: membatasi Cloud KMS CryptoKey yang akan digunakan untuk perlindungan CMEK di cluster dan cadangan AlloyDB. Saat AlloyDB membuat cluster atau cadangan baru menggunakan CMEK dan batasan ini, CryptoKey harus berasal dari project, folder, atau organisasi yang diizinkan.
Batasan ini membantu memastikan perlindungan CMEK di seluruh organisasi, dan hanya diterapkan pada cluster dan cadangan AlloyDB yang baru dibuat. Untuk mengetahui informasi selengkapnya, lihat Kebijakan organisasi CMEK dan Batasan kebijakan organisasi.
Kebijakan organisasi kustom
Untuk kontrol yang terperinci dan dapat disesuaikan atas setelan, Anda dapat membuat batasan khusus dan menggunakannya dalam kebijakan organisasi kustom. Gunakan kebijakan organisasi kustom untuk meningkatkan keamanan, kepatuhan, dan tata kelola Anda.
Untuk mempelajari cara membuat kebijakan organisasi kustom, lihat Menggunakan kebijakan organisasi kustom. Anda juga dapat melihat daftar batasan dan operasi kustom yang didukung.
Aturan penegakan kebijakan organisasi
AlloyDB menerapkan kebijakan organisasi untuk operasi berikut:
- Pembuatan instance
- Update instance
- Pembuatan cluster
- Pembuatan cadangan
Seperti semua batasan kebijakan organisasi, perubahan kebijakan tidak berlaku secara surut pada cluster dan cadangan yang ada. Berikut adalah contohnya:
- Kebijakan baru tidak akan memengaruhi instance, cluster, atau cadangan yang ada.
- Kecuali jika pengguna mengubah konfigurasi instance, cluster, atau cadangan dari status kepatuhan menjadi ketidakpatuhan menggunakan konsol Google Cloud , gcloud CLI, atau RPC, konfigurasi instance, cluster, atau cadangan yang ada tetap valid.
- Update pemeliharaan terjadwal tidak menyebabkan penegakan kebijakan karena pemeliharaan tidak mengubah konfigurasi instance, cluster, atau cadangan.
Langkah berikutnya
- Menggunakan kebijakan organisasi yang telah ditentukan sebelumnya.
- Pelajari cara kerja IP pribadi dengan AlloyDB.
- Pelajari cara mengonfigurasi layanan pribadi untuk AlloyDB.
- Pelajari layanan kebijakan organisasi.
- Pelajari batasan kebijakan organisasi.