Questa pagina descrive i criteri dell'organizzazione di AlloyDB per PostgreSQL, che gli amministratori dell'organizzazione utilizzano per impostare restrizioni sul modo in cui gli utenti configurano i cluster e i backup nell'ambito dell'organizzazione.
Progetti, cartelle e organizzazioni sono risorse contenitore organizzate in una gerarchia di risorse padre-figlio. Un'organizzazione è il nodo radice di questa gerarchia. Per saperne di più, consulta Gerarchia delle risorse.
I criteri dell'organizzazione contengono regole, chiamate vincoli, che l'amministratore dell'organizzazione impone a un progetto, una cartella o un'organizzazione. I vincoli applicano un criterio in tutti i cluster e i backup. Ad esempio, se tenti di creare un cluster o un backup in un'entità con una policy dell'organizzazione, il vincolo esegue un controllo per assicurarsi che la configurazione del cluster o del backup rispetti i requisiti del vincolo. Se il controllo non va a buon fine, AlloyDB non crea il cluster o la risorsa di backup.
Quando aggiungi progetti a un'organizzazione o a una cartella che utilizza una policy dell'organizzazione, i progetti ereditano i vincoli di questa policy.
Per saperne di più sulle policy dell'organizzazione, consulta Introduzione al servizio Policy dell'organizzazione, Vincoli e Informazioni sulla valutazione della gerarchia.
Le seguenti policy dell'organizzazione sono specifiche per AlloyDB:
Policy dell'organizzazione predefinite
Per iniziare, puoi utilizzare le impostazioni della chiave di crittografia gestita dal cliente (CMEK) dei cluster e dei backup AlloyDB. Per maggiori dettagli, vedi Utilizzare le policy dell'organizzazione predefinite. Per un controllo granulare e personalizzabile su altre impostazioni supportate, utilizza i vincoli personalizzati. Per ulteriori informazioni, vedi Utilizzare le policy dell'organizzazione personalizzate.
Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)
AlloyDB supporta i seguenti vincoli dei criteri dell'organizzazione:
constraints/gcp.restrictNonCmekServices: richiede la protezione CMEK per l'APIalloydb.googleapis.com. Quando aggiungi questo vincolo ealloydb.googleapis.comall'elenco dei servizi della policyDeny, AlloyDB rifiuta di creare un nuovo cluster o una risorsa di backup a meno che il nuovo cluster o la nuova risorsa di backup non sia abilitato con CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: limita le CryptoKey Cloud KMS da utilizzare per la protezione CMEK nei cluster e nei backup AlloyDB. Quando AlloyDB crea un nuovo cluster o backup utilizzando CMEK e questo vincolo, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.
Questi vincoli contribuiscono a garantire la protezione CMEK in un'organizzazione e vengono applicati solo ai backup e ai cluster AlloyDB appena creati. Per maggiori informazioni, consulta Policy dell'organizzazione CMEK e Vincoli delle policy dell'organizzazione.
Policy dell'organizzazione personalizzate
Per un controllo granulare e personalizzabile delle impostazioni, puoi creare vincoli personalizzati e utilizzarli in una policy dell'organizzazione personalizzata. Utilizza le policy dell'organizzazione personalizzate per migliorare la sicurezza, la conformità e la governance.
Per scoprire come creare policy dell'organizzazione personalizzate, consulta Utilizzare le policy dell'organizzazione personalizzate. Puoi anche visualizzare un elenco di vincoli e operazioni personalizzati supportati.
Regole di applicazione dei criteri dell'organizzazione
AlloyDB applica il criterio dell'organizzazione per le seguenti operazioni:
- Creazione dell'istanza
- Aggiornamento dell'istanza
- Creazione del cluster
- Creazione del backup
Come tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate retroattivamente ai cluster e ai backup esistenti. Ecco alcuni esempi:
- Un nuovo criterio non ha effetto su istanze, cluster o backup esistenti.
- A meno che un utente non modifichi la configurazione di istanza, cluster o backup da uno stato di conformità a uno stato di non conformità utilizzando la console Google Cloud , gcloud CLI o RPC, una configurazione di istanza, cluster o backup esistente rimane valida.
- Un aggiornamento di manutenzione pianificato non causa l'applicazione delle norme perché la manutenzione non modifica la configurazione di istanze, cluster o backup.
Passaggi successivi
- Utilizzare le norme dell'organizzazione predefinite.
- Scopri come funziona l'IP privato con AlloyDB.
- Scopri come configurare l'accesso privato ai servizi per AlloyDB.
- Scopri di più sul servizio criteri dell'organizzazione.
- Scopri di più sui vincoli delle policy dell'organizzazione.