Cloud SQL-Organisationsrichtlinien hinzufügen

Auf dieser Seite wird gezeigt, wie Sie Cloud SQL-Instanzen Organisationsrichtlinien hinzufügen, um Cloud SQL auf Projekt-, Ordner- oder Organisationsebene einzuschränken. Eine Übersicht finden Sie unter Cloud SQL-Organisationsrichtlinien.

Vorbereitung

1. Melden Sie sich bei Ihrem Google Cloud-Konto an. Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

2. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

   Zur Projektauswahl

3. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

4. Installieren Sie die Google Cloud CLI.

5. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

   gcloud init

6. Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

   Zur Projektauswahl

7. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

8. Installieren Sie die Google Cloud CLI.

9. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren:

   gcloud init

10. Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) Ihrem Nutzer- oder Dienstkonto hinzu.

    Zur Seite "IAM-Konten"

11. Beachten Sie die Einschränkungen, für diesen Vorgang.

Organisationsrichtlinie für Verbindung hinzufügen

Eine Übersicht finden Sie unter Organisationsrichtlinien für die Verbindung.

So fügen Sie eine Organisationsrichtlinie für Verbindungen hinzu:

1. Rufen Sie die Seite Organisationsrichtlinien auf.

   Weiter zur Seite "Organisationsrichtlinien"

2. Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

3. Filtern Sie nach der Einschränkung name oder display_name.

   • So deaktivieren Sie den Zugriff auf das oder aus dem Internet:

     name: "constraints/sql.restrictPublicIp"
     display_name: "Restrict Public IP access on Cloud SQL instances"
     

   • So deaktivieren Sie den Zugriff aus dem Internet, wenn die IAM-Authentifizierung fehlt (dies betrifft nicht den Zugriff über eine private IP-Adresse):

     name: "constraints/sql.restrictAuthorizedNetworks"
     display_name: "Restrict Authorized Networks on Cloud SQL instances"
     

4. Wählen Sie aus der Liste die Richtlinie Name aus.

5. Klicken Sie auf Bearbeiten.

6. Klicken Sie auf Anpassen.

7. Klicken Sie auf Regel hinzufügen.

8. Klicken Sie unter Erzwingung auf An.

9. Klicken Sie auf Speichern.

CMEK-Organisationsrichtlinie hinzufügen

Eine Übersicht finden Sie unter Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel.

So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:

1. Rufen Sie die Seite Organisationsrichtlinien auf.

   Weiter zur Seite "Organisationsrichtlinien"

2. Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

3. Filtern Sie nach der Einschränkung name oder display_name.

   • So fügen Sie Dienstnamen in eine DENY-Liste ein, um sicherzustellen, dass CMEK in den Ressourcen für diesen Dienst verwendet wird:

     name: "constraints/gcp.restrictNonCmekServices"
     display_name: "Restrict which services may create resources without CMEK"
     

     Sie müssen sqladmin.googleapis.com zur Liste der eingeschränkten Dienste mit "Ablehnen" hinzufügen.

   • Sie fügen Projekt-IDs in eine ALLOW-Liste ein, damit nur Schlüssel aus einer Instanz von Cloud KMS in diesem Projekt für CMEK verwendet werden.

     name: "constraints/gcp.restrictCmekCryptoKeyProjects"
     display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
     

4. Wählen Sie aus der Liste die Richtlinie Name aus.

5. Klicken Sie auf Bearbeiten.

6. Klicken Sie auf Anpassen.

7. Klicken Sie auf Regel hinzufügen.

8. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.

9. Für constraints/gcp.restrictNonCmekServices: a. Wählen Sie unter Richtlinientypen die Option Ablehnen aus. b. Geben Sie unter Benutzerdefinierte Werte sqladmin.googleapis.com ein.

   Für constraints/gcp.restrictCmekCryptoKeyProjects: a. Wählen Sie unter Richtlinientypen die Option Zulassen aus. b. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.

10. Klicken Sie auf Fertig.

11. Klicken Sie auf Speichern.

Nächste Schritte

• Informationen zu Organisationsrichtlinien
• Informationen zur Funktionsweise einer privaten IP-Adresse in Cloud SQL
• Informationen zur Konfiguration einer privaten IP-Adresse für Cloud SQL
• Informationen zum Organisationsrichtliniendienst
• Informationen zu Einschränkungen für Organisationsrichtlinien