本頁面說明 AlloyDB for PostgreSQL 機構政策,機構管理員可使用這類政策,限制使用者在該機構下設定叢集和備份的方式。
專案、資料夾和機構是容器資源,以父項/子項資源階層的形式整理。機構是該階層的根節點。詳情請參閱「資源階層」。
機構政策包含機構管理員對專案、資料夾或機構設定的規則,稱為「限制」。限制會在所有叢集和備份作業中強制執行政策。舉例來說,如果您嘗試在具有組織政策的實體中建立叢集或備份,條件約束會執行檢查,確保叢集或備份設定符合條件約束的要求。如果檢查失敗,AlloyDB 就不會建立叢集或備份資源。
將專案新增至使用機構政策的機構或資料夾時,專案會繼承該政策的限制。
如要進一步瞭解機構政策,請參閱「機構政策服務簡介」、「限制」和「瞭解階層評估」。
下列機構政策適用於 AlloyDB:
預先定義的機構政策
如要開始使用,可以透過 AlloyDB 叢集和備份的客戶自行管理的加密金鑰 (CMEK) 設定。詳情請參閱「使用預先定義的機構政策」。如要精細控管其他支援的設定,請使用自訂限制。詳情請參閱「使用自訂機構政策」。
客戶自行管理的加密金鑰 (CMEK) 機構政策
AlloyDB 支援下列機構政策限制:
constraints/gcp.restrictNonCmekServices:需要為alloydb.googleapis.comAPI 啟用 CMEK 保護機制。新增這項限制並將其加入服務的Deny政策清單後,除非新叢集或備份資源已啟用 CMEK,否則 AlloyDB 會拒絕建立新叢集或備份資源。alloydb.googleapis.comconstraints/gcp.restrictCmekCryptoKeyProjects:限制用於 AlloyDB 叢集和備份作業的 CMEK 保護機制,只能使用Cloud KMS CryptoKey。當 AlloyDB 使用 CMEK 和這項限制建立新叢集或備份時,CryptoKey 必須來自允許的專案、資料夾或機構。
這些限制有助於確保整個機構的 CMEK 保護機制,且只會對新建立的 AlloyDB 叢集和備份強制執行。詳情請參閱「CMEK 組織政策」和「組織政策限制」。
自訂機構政策
如要精細控管設定,您可以建立自訂限制,並在自訂機構政策中使用這些限制。使用自訂機構政策,提升安全性、法規遵循與管理成效。
如要瞭解如何建立自訂機構政策,請參閱「使用自訂機構政策」。您也可以查看支援的自訂限制和作業清單。
機構政策強制執行規則
AlloyDB 會針對下列作業強制執行機構政策:
- 建立執行個體
- 執行個體更新
- 建立叢集
- 建立備份
與所有機構政策限制一樣,政策變更不會回溯套用至現有叢集和備份。以下是範例:
- 新政策不會影響現有執行個體、叢集或備份。
- 除非使用者透過 Google Cloud 主控台、gcloud CLI 或 RPC,將例項、叢集或備份設定從符合法規的狀態變更為不符合法規的狀態,否則現有的例項、叢集或備份設定仍有效。
- 排定的維護更新不會導致政策強制執行,因為維護作業不會變更執行個體、叢集或備份的設定。
後續步驟
- 使用預先定義的機構政策。
- 瞭解私人 IP 如何搭配 AlloyDB 使用。
- 瞭解如何為 AlloyDB設定私人服務。
- 瞭解機構政策服務。
- 瞭解機構政策限制。