Cloud SQL の組織のポリシーを追加する

このページでは、Cloud SQL インスタンスに関する組織のポリシーを追加して、プロジェクト、フォルダ、組織レベルで Cloud SQL に制限を課す方法について説明します。概要については、Cloud SQL の組織のポリシーをご覧ください。

始める前に

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタに移動

  3. Google Cloud プロジェクトで課金が有効になっていることを確認します

  4. Google Cloud CLI をインストールします。

  5. gcloud CLI を初期化するには:

    gcloud init
    6.

  6. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタに移動

  7. Google Cloud プロジェクトで課金が有効になっていることを確認します

  8. Google Cloud CLI をインストールします。

  9. gcloud CLI を初期化するには:

    gcloud init
    10.
  10. [IAM と管理] ページから、組織ポリシー管理者ロール(roles/orgpolicy.policyAdmin)をユーザー アカウントまたはサービス アカウントに追加します。

    IAM アカウントのページに移動

  11. この手順を行う前に、制限事項をご覧ください。

接続に関する組織のポリシーを追加する

概要については、接続に関する組織のポリシーをご覧ください。

接続に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • インターネットへのアクセスまたはインターネットからのアクセスを無効にするには:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • IAM 認証がない場合にインターネットからのアクセスを無効にするには(これは、プライベート IP を使用するアクセスには影響しません):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールを追加] をクリックします。

  8. [適用] で、[オン] をクリックします。

  9. [保存] をクリックします。

CMEK に関する組織のポリシーを追加する

概要については、顧客管理の暗号鍵に関する組織のポリシーをご覧ください。

CMEK に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • サービス名を拒否リストに登録して、そのサービスのリソースで CMEK が使用されるようにするには:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      制限付きサービスのリストに sqladmin.googleapis.com を追加して、拒否を設定する必要があります。

    • プロジェクト ID を許可リストに登録して、そのプロジェクト内にある Cloud KMS のインスタンスの鍵のみが CMEK として使用されるようにします。

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールを追加] をクリックします。

  8. [ポリシーの値] で [カスタム] をクリックします。

  9. constraints/gcp.restrictNonCmekServices の場合: a. [ポリシーの種類] で [拒否] を選択します。 b. [カスタム値] で、「sqladmin.googleapis.com」と入力します。

    constraints/gcp.restrictCmekCryptoKeyProjects の場合: a. [ポリシーの種類] で [許可] を選択します。 b. [カスタム値] で、under:organizations/ORGANIZATION_IDunder:folders/FOLDER_ID、または projects/PROJECT_ID の形式でリソースを入力します。

  10. [完了] をクリックします。

  11. [保存] をクリックします。

次のステップ