本页面介绍了 AlloyDB for PostgreSQL 组织政策,组织管理员可使用这些政策来限制用户如何配置相应组织下的集群和备份。
项目、文件夹和组织是按父子资源层次结构整理的容器资源。组织是该层次结构中的根节点。如需了解详情,请参阅资源层次结构。
组织政策包含组织管理员对项目、文件夹或组织实施的规则(称为限制条件)。限制条件会在所有集群和备份中强制执行政策。例如,如果您尝试在具有组织政策的实体中创建集群或备份,则相应限制条件会运行检查以确保集群或备份配置符合其要求。如果检查失败,AlloyDB 不会创建集群或备份资源。
将项目添加到使用组织政策的组织或文件夹时,项目会继承该政策的限制条件。
如需详细了解组织政策,请参阅组织政策服务简介、限制条件和了解层次结构评估。
以下组织政策特定于 AlloyDB:
预定义组织政策
首先,您可以使用 AlloyDB 集群和备份的客户管理的加密密钥 (CMEK) 设置。如需了解详情,请参阅使用预定义的组织政策。 如需对其他受支持的设置进行精细且可自定义的控制,请使用自定义限制条件。如需了解详情,请参阅使用自定义组织政策。
客户管理的加密密钥 (CMEK) 组织政策
AlloyDB 支持以下组织政策限制条件:
constraints/gcp.restrictNonCmekServices:要求为alloydb.googleapis.comAPI 提供 CMEK 保护。如果添加此限制条件并将alloydb.googleapis.com添加到服务的Deny政策列表中,则除非新集群或备份资源启用了 CMEK,否则 AlloyDB 会拒绝创建新集群或备份资源。constraints/gcp.restrictCmekCryptoKeyProjects:限制在 AlloyDB 集群和备份中使用哪些 Cloud KMS CryptoKey 进行 CMEK 保护。当 AlloyDB 使用 CMEK 和此限制条件创建新集群或备份时,CryptoKey 必须来自允许的项目、文件夹或组织。
这些限制条件有助于确保整个组织中的 CMEK 保护,并且仅对新创建的 AlloyDB 集群和备份强制执行。如需了解详情,请参阅 CMEK 组织政策和组织政策限制条件。
自定义组织政策
如需对设置进行精细且可自定义的控制,您可以创建自定义限制条件并在自定义组织政策中使用这些自定义限制条件。使用自定义组织政策来提升安全性、合规性和治理水平。
如需了解如何创建自定义组织政策,请参阅使用自定义组织政策。您还可以查看支持的自定义限制条件和操作列表。
组织政策强制执行规则
AlloyDB 会在以下操作期间强制执行组织政策:
- 创建实例
- 更新实例
- 创建集群
- 创建备份
与所有组织政策限制条件一样,政策更改不会以追溯方式应用于现有集群和备份。示例如下:
- 新政策对现有实例、集群或备份没有任何影响。
- 除非用户使用 Google Cloud 控制台、gcloud CLI 或 RPC 将实例、集群或备份配置从合规状态更改为不合规状态,否则现有实例、集群或备份配置仍然有效。
- 由于维护不会更改实例、集群或备份的配置,因此预定维护更新不会导致政策强制执行。
后续步骤
- 使用预定义的组织政策。
- 了解专用 IP 如何与 AlloyDB 搭配使用。
- 了解如何为 AlloyDB 配置专用服务。
- 了解组织政策服务。
- 了解组织政策限制条件。