Gestire le risorse Memorystore for Redis con vincoli personalizzati

I criteri dell'organizzazione di Google Cloud offrono un sistema centralizzato e programmatico un controllo completo sulle risorse dell'organizzazione. Come amministratore dei criteri dell'organizzazione, puoi definire un criterio dell'organizzazione, un insieme di restrizioni denominate vincoli che si applicano le risorse Google Cloud e i discendenti di queste risorse nel Gerarchia delle risorse di Google Cloud. Puoi applicare i criteri dell'organizzazione all'indirizzo a livello di organizzazione, cartella o progetto.

I criteri dell'organizzazione forniscono vincoli predefiniti per vari servizi Google Cloud. Tuttavia, se vuoi più granulare, personalizzabile controllo sui campi specifici con restrizioni nella tua organizzazione criteri, puoi anche creare criteri dell'organizzazione personalizzati.

Se implementi un criterio dell'organizzazione personalizzato, applichi in modo coerente configurazioni e restrizioni. In questo modo, le istanze di Memorystore per Redis rispettino le best practice per la sicurezza e i requisiti normativi.

Vantaggi

Puoi utilizzare un criterio dell'organizzazione personalizzato per consentire o negare risorse Memorystore for Redis specifiche. Ad esempio, se una richiesta per creare o aggiornare un'istanza Redis non riesce a soddisfare la convalida di vincoli personalizzati come impostata dal criterio dell'organizzazione la richiesta avrà esito negativo e verrà restituito un errore al chiamante.

Eredità dei criteri

Per impostazione predefinita, i criteri dell'organizzazione vengono ereditati dai discendenti delle risorse su cui applichi il criterio. Ad esempio, se applichi un criterio su una cartella, Google Cloud applica i criteri a tutti i progetti . Per scoprire di più su questo comportamento e su come modificarlo, consulta Regole di valutazione della gerarchia.

Prezzi

Il servizio di criteri dell'organizzazione, inclusi i criteri dell'organizzazione predefiniti e personalizzati, viene fornito senza costi.

Limitazioni

Come tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate in modo retroattivo alle istanze esistenti.

  • Un nuovo criterio non influisce sulle configurazioni delle istanze esistenti.
  • Una configurazione esistente dell'istanza rimane valida, a meno che non modifichi la configurazione dell'istanza da uno stato di conformità a uno stato di non conformità utilizzando la console Google Cloud, Google Cloud CLI o RPC.
  • Un aggiornamento di manutenzione pianificato non causa l'applicazione di un criterio perché la manutenzione non modifica la configurazione delle istanze.

Prima di iniziare

  1. Configura il progetto.
    1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

    2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    3. Make sure that billing is enabled for your Google Cloud project.

    4. Install the Google Cloud CLI.

    5. To initialize the gcloud CLI, run the following command: 

      gcloud init

    6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

      Go to project selector

    7. Make sure that billing is enabled for your Google Cloud project.

    8. Install the Google Cloud CLI.

    9. To initialize the gcloud CLI, run the following command: 

      gcloud init
    10. Assicurati di conoscere il ID organizzazione.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per gestire i criteri dell'organizzazione, chiedi all'amministratore di concederti Ruolo IAM Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) per la risorsa dell'organizzazione. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Devi anche aggiungere al tuo account utente i ruoli richiesti per creare Memorystore for Redis. Vedi Configurare l'accesso alle risorse Memorystore for Redis

Creare un vincolo personalizzato

Puoi creare una limitazione personalizzata utilizzando un file YAML per definire le risorse, i metodi, le condizioni e le azioni soggette alla limitazione. Sono specifici del servizio su cui applichi i criteri dell'organizzazione. Le condizioni per i vincoli personalizzati devono essere definiti utilizzando Common Expression Language. Consulta la pagina di GitHub relativa al Common Expression Language (CEL). Per ulteriori informazioni su come creare condizioni nei vincoli personalizzati utilizzando CEL, consulta la sezione Creazione e gestione di vincoli personalizzati.

Utilizza il seguente modello per creare un file YAML per una limitazione personalizzata:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- redis.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Sostituisci quanto segue:

  • ORGANIZATION_ID: l'ID della tua organizzazione, ad esempio 123456789.

  • CONSTRAINT_NAME: il nome che vuoi assegnare al nuovo vincolo personalizzato. Un vincolo personalizzato deve iniziare con custom. e può includere solo lettere maiuscole, lettere minuscole o numeri, per ad esempio custom.restrictInstanceToOnereplica. La lunghezza massima di questo campo è di 70 caratteri, senza contare il prefisso, ad esempioorganizations/123456789/customConstraints/custom.allowConstraint.

  • RESOURCE_NAME: il nome (non l'URI) dell'URI Risorsa Memorystore for Redis contenente l'oggetto e il campo vuoi limitare. Ad esempio, Instance.

  • CONDITION: una condizione CEL scritta in base a una rappresentazione di una risorsa di servizio supportata. Questo ha una lunghezza massima di 1000 caratteri. Consulta la sezione Risorse supportate per ulteriori informazioni sulle risorse disponibili per la scrittura delle condizioni. Ad esempio, "resource.replicaCount >= 2".

  • ACTION: l'azione da eseguire se condition è sono soddisfatte determinate condizioni. Può essere ALLOW o DENY.

  • DISPLAY_NAME: un nome comprensibile per la limitazione. Questo campo ha una lunghezza massima di 200 caratteri.

  • DESCRIPTION: una descrizione comprensibile del vincolo da visualizzare come messaggio di errore in caso di violazione del criterio. Questo campo ha una lunghezza massima di 2000 caratteri.

Per saperne di più su come creare un vincolo personalizzato, consulta Creare e gestire criteri dell'organizzazione personalizzati.

Configurare un vincolo personalizzato

Dopo aver creato il file YAML per un nuovo vincolo personalizzato, devi configurarlo per disponibile per i criteri dell'organizzazione nella tua organizzazione. Per impostare un vincolo personalizzato, utilizza il comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sostituisci CONSTRAINT_PATH con il percorso completo del file delle limitazioni personalizzate. Ad esempio: /home/user/customconstraint.yaml. Al termine, i vincoli personalizzati sono disponibili come criteri dell'organizzazione nell'elenco dei criteri dell'organizzazione di Google Cloud. Per verificare che la limitazione personalizzata esista, utilizza il comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sostituisci ORGANIZATION_ID con l'ID della risorsa della tua organizzazione. Per ulteriori informazioni, consulta Visualizzare i criteri dell'organizzazione.

Applica un criterio dell'organizzazione personalizzato

Puoi applicare un vincolo booleano creando un criterio dell'organizzazione che lo richiami e poi applicando questo criterio dell'organizzazione a una risorsa Google Cloud.

Console

  1. Nella console Google Cloud, vai alla pagina Norme dell'organizzazione.

    Vai a Criteri dell'organizzazione

  2. Nel selettore di progetti, seleziona il progetto per cui vuoi impostare il criterio dell'organizzazione.
  3. Nell'elenco della pagina Criteri dell'organizzazione, seleziona il vincolo per visualizzare la pagina Dettagli dei criteri relativa al vincolo in questione.
  4. Per configurare il criterio dell'organizzazione per questa risorsa, fai clic su Gestisci criterio.
  5. Nella pagina Modifica criterio, seleziona Sostituisci criterio della risorsa padre.
  6. Fai clic su Aggiungi una regola.
  7. Nella sezione Applicazione, scegli se applicare questo criterio dell'organizzazione sia attivato o disattivato.
  8. (Facoltativo) Per rendere il criterio dell'organizzazione condizionale su un tag, fai clic su Aggiungi condizione. Tieni presente che se aggiungi una regola condizionale a un'organizzazione devi aggiungere almeno una regola incondizionata. In caso contrario, la norma non potrà essere salvata. Per ulteriori informazioni, consulta Impostare un criterio dell'organizzazione con tag.
  9. Se si tratta di un vincolo personalizzato, puoi fare clic su Prova modifiche per simulare l'effetto di questo criterio dell'organizzazione. Per ulteriori informazioni, consulta Testare le modifiche ai criteri dell'organizzazione con Policy Simulator.
  10. Per completare e applicare il criterio dell'organizzazione, fai clic su Imposta criterio. Le norme sono necessari fino a 15 minuti prima che le modifiche diventino effettive.

gcloud

Per creare un criterio dell'organizzazione che applichi un vincolo booleano, crea un file YAML del criterio che faccia riferimento al vincolo: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Sostituisci quanto segue:

  • PROJECT_ID: il progetto su cui vuoi applicare in modo forzato i di blocco.
  • CONSTRAINT_NAME: il nome definito per il vincolo personalizzato. Per ad esempio custom.restrictInstanceToOnereplica.

Per applicare il criterio dell'organizzazione contenente la limitazione, esegui il seguente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sostituisci POLICY_PATH con il percorso completo del criterio dell'organizzazione YAML. L'applicazione del criterio richiede fino a 15 minuti.

Testa un vincolo personalizzato

Per testare un vincolo personalizzato, esegui un comando gcloud che tenta di creare un'istanza Redis.

Ad esempio, supponiamo che una limitazione richieda che le istanze Redis non abbiano più di una replica. Puoi testare questo vincolo eseguendo il comando gcloud redis instances create con replica-count impostato su 2, come mostrato nello snippet seguente:

gcloud redis instances create redis-test-instance \
    --project=my-project \
    --tier=standard \
    --size=16 \
    --region=us-central1 \
    --redis-version=redis_7_0 \
    --network=projects/my-project/global/networks/default \
    --connect-mode=PRIVATE_SERVICE_ACCESS \
    --read-replicas-mode=READ_REPLICAS_ENABLED \
    --replica-count=2

L'output è simile al seguente:

Operation denied by custom org policies: ["customConstraints/custom.restrictInstanceToOnereplica": "Prevent users from creating Redis instances with more than one replica"]

Risorse e operazioni supportate da Memorystore for Redis

I seguenti campi dei vincoli personalizzati di Memorystore for Redis sono disponibile per l'uso quando crei o aggiorni una risorsa Memorystore for Redis

  • Istanza Memorystore for Redis
    • resource.alternativeLocationId
    • resource.authEnabled
    • resource.authorizedNetwork
    • resource.availableMaintenanceVersions
    • resource.connectMode
    • resource.customerManagedKey
    • resource.displayName
    • resource.locationId
    • resource.maintenancePolicy.description
    • resource.maintenancePolicy.weeklyMaintenanceWindow.day
    • resource.maintenanceVersion
    • resource.memorySizeGb
    • resource.name
    • resource.persistenceConfig.persistenceMode
    • resource.persistenceConfig.rdbSnapshotPeriod
    • resource.persistenceConfig.rdbSnapshotStartTime
    • resource.readReplicasMode
    • resource.redisConfigs
    • resource.redisVersion
    • resource.replicaCount
    • resource.reservedIpRange
    • resource.secondaryIpRange
    • resource.suspensionReasons
    • resource.tier
    • resource.transitEncryptionMode

Esempi di vincoli personalizzati

La tabella seguente fornisce un esempio di vincolo personalizzato che limita l'istanza Redis a una replica:

Descrizione Sintassi del vincolo
Limita le istanze Redis con una replica 
    name: organizations/ORGANIZATION_ID/customConstraints/custom.restrictInstanceToOnereplica
    resourceTypes:
    - redis.googleapis.com/Instance
    methodTypes:
    - CREATE
    - UPDATE
    condition: "resource.replicaCount >= 2"
    actionType: DENY
    displayName: Restrict Redis instances to one replica
    description: Prevent users from creating Redis instances with more than one replica

Passaggi successivi