Nesta página, descrevemos as políticas da organização do AlloyDB para PostgreSQL, que os administradores da organização usam para definir restrições sobre como os usuários configuram clusters e backups nessa organização.
Projetos, pastas e organizações são recursos de contêiner organizados em uma hierarquia de recursos pai-filho. Uma organização é o nó raiz nessa hierarquia. Para mais informações, consulte Hierarquia de recursos.
As políticas da organização contêm regras, chamadas de restrições, que o administrador da organização coloca em um projeto, uma pasta ou uma organização. As restrições aplicam uma política em todos os clusters e backups. Por exemplo, se você tentar criar um cluster ou backup em uma entidade que tenha uma política da organização, a restrição executará uma verificação para garantir que a configuração do cluster ou backup siga os requisitos da restrição. Se a verificação falhar, o AlloyDB não vai criar o cluster ou o recurso de backup.
Quando você adiciona projetos a uma organização ou pasta que usa uma política da organização, os projetos herdam as restrições dessa política.
Para mais informações sobre políticas da organização, consulte Introdução ao serviço de políticas da organização, Restrições e Noções básicas sobre a avaliação da hierarquia.
As seguintes políticas da organização são específicas do AlloyDB:
Políticas predefinidas da organização
Para começar, use as configurações de chave de criptografia gerenciada pelo cliente (CMEK) de clusters e backups do AlloyDB. Para mais detalhes, consulte Usar políticas predefinidas da organização. Para ter um controle granular e personalizável sobre outras configurações compatíveis, use restrições personalizadas. Para mais informações, consulte Usar políticas personalizadas da organização.
Políticas da organização para chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês)
O AlloyDB é compatível com as seguintes restrições de política da organização:
constraints/gcp.restrictNonCmekServices: exige proteção de CMEK para a APIalloydb.googleapis.com. Quando você adiciona essa restrição ealloydb.googleapis.comà lista de serviços da políticaDeny, o AlloyDB se recusa a criar um novo cluster ou um recurso de backup a menos que o novo cluster ou recurso de backup esteja ativado com CMEK.constraints/gcp.restrictCmekCryptoKeyProjects: limita quais CryptoKeys do Cloud KMS usar para proteção da CMEK em clusters e backups do AlloyDB. Quando o AlloyDB cria um novo cluster ou backup usando a CMEK e essa restrição, a CryptoKey precisa vir de um projeto, uma pasta ou uma organização permitida.
Essas restrições ajudam a garantir a proteção da CMEK em uma organização e são aplicadas apenas em clusters e backups do AlloyDB recém-criados. Para mais informações, consulte Políticas da organização de CMEK e Restrições da política da organização.
Políticas personalizadas da organização
Para ter um controle granular e personalizável sobre as configurações, crie restrições personalizadas e use-as em uma política da organização personalizada. Use políticas da organização personalizadas para melhorar a segurança, a conformidade e a governança.
Para saber como criar políticas personalizadas da organização, consulte Usar políticas personalizadas da organização. Confira também uma lista de restrições e operações personalizadas compatíveis.
Regras de aplicação da política da organização
O AlloyDB aplica a política da organização nas seguintes operações:
- criação de instância
- Atualização da instância
- Criação do cluster
- Criação do backup
Como todas as restrições de política da organização, as mudanças na política não se aplicam retroativamente aos clusters e backups atuais. Confira alguns exemplos:
- Uma nova política não afeta as instâncias, os clusters ou os backups atuais.
- A menos que um usuário mude a configuração de instância, cluster ou backup de um estado de conformidade para não conformidade usando o console do Google Cloud , a CLI gcloud ou RPC, uma configuração de instância, cluster ou backup existente permanece válida.
- Uma atualização de manutenção programada não faz com que uma política seja aplicada porque a manutenção não muda a configuração de instâncias, clusters ou backups.
A seguir
- Usar políticas predefinidas da organização.
- Saiba como o IP privado funciona com o AlloyDB.
- Saiba como configurar serviços particulares para o AlloyDB.
- Saiba mais sobre o serviço de política da organização.
- Saiba mais sobre restrições da política da organização.