AlloyDB の組織のポリシーの概要

このページでは、AlloyDB for PostgreSQL の組織のポリシーについて説明します。組織管理者は、このポリシーを使用して、その組織の下でユーザーがクラスタとバックアップを構成する方法に制限を設定します。

プロジェクト、フォルダ、組織は、親子リソース階層で整理されたコンテナ リソースです。組織は、その階層のルートノードです。詳細については、リソース階層をご覧ください。

組織のポリシーには、組織管理者がプロジェクト、フォルダ、または組織に適用する、制約と呼ばれるルールが含まれます。制約により、すべてのクラスタとバックアップにポリシーが適用されます。たとえば、組織のポリシーを持つエンティティにクラスタまたはバックアップを作成しようとすると、制約によってクラスタまたはバックアップの構成が制約の要件に従っているかどうかチェックされます。チェックが失敗した場合、AlloyDB はクラスタまたはバックアップ リソースを作成しません。

組織のポリシーを使用する組織またはフォルダにプロジェクトを追加すると、プロジェクトにそのポリシーの制約が継承されます。

組織のポリシーの詳細については、組織のポリシー サービスの概要制約階層評価についてをご覧ください。

次の組織のポリシーは AlloyDB に固有のものです。

事前定義された組織のポリシー

まず、AlloyDB クラスタとバックアップの顧客管理の暗号鍵(CMEK)の設定を使用できます。詳細については、事前定義の組織のポリシーを使用するをご覧ください。サポートされているその他の設定をきめ細かくカスタマイズして管理するには、カスタム制約を使用します。詳細については、カスタムの組織のポリシーを使用するをご覧ください。

顧客管理の暗号鍵(CMEK)の組織のポリシー

AlloyDB は、次の組織のポリシー制約をサポートしています。

  • constraints/gcp.restrictNonCmekServices: alloydb.googleapis.com API に対する CMEK 保護が必要です。この制約と、alloydb.googleapis.com をサービスの Deny ポリシーリストに追加すると、新しいクラスタまたはバックアップ リソースで CMEK が有効になっていない限り、AlloyDB は新しいクラスタまたはバックアップ リソースの作成を拒否します。
  • constraints/gcp.restrictCmekCryptoKeyProjects: AlloyDB クラスタとバックアップで CMEK 保護に使用する Cloud KMS CryptoKey を制限します。AlloyDB が CMEK とこの制約を使用して新しいクラスタまたはバックアップを作成する場合、CryptoKey は許可されたプロジェクト、フォルダ、または組織から取得する必要があります。

これらの制約は、組織全体の CMEK の保護に役立ち、新しく作成された AlloyDB クラスタとバックアップにのみ適用されます。詳細については、CMEK の組織のポリシー組織のポリシーの制約をご覧ください。

カスタムの組織のポリシー

設定をきめ細かくカスタマイズ可能な方法で制御するには、カスタム制約を作成して、カスタムの組織のポリシーで使用します。カスタムの組織のポリシーを使用して、セキュリティ、コンプライアンス、ガバナンスを改善します。

カスタムの組織のポリシーの作成方法については、カスタムの組織のポリシーを使用するをご覧ください。サポートされているカスタム制約とオペレーションのリストも確認できます。

組織のポリシーの適用ルール

AlloyDB は、次のオペレーションに組織のポリシーを適用します。

  • インスタンスの作成
  • インスタンスの更新
  • クラスタの作成
  • バックアップの作成

すべての組織のポリシーの制約と同様に、ポリシーの変更は既存のクラスタとバックアップに遡及的には適用されません。次に例を示します。

  • 新しいポリシーは、既存のインスタンス、クラスタ、バックアップには影響しません。
  • ユーザーが Google Cloud コンソール、gcloud CLI、または RPC を使用してインスタンス、クラスタ、またはバックアップ構成をコンプライアンス状態から非コンプライアンス状態に変更しない限り、既存のインスタンス、クラスタ、またはバックアップ構成は有効なままです。
  • メンテナンスはインスタンス、クラスタ、バックアップの構成を変更しないため、定期メンテナンス更新によってポリシーが適用されることはありません。

次のステップ