Agrega políticas de la organización de Cloud SQL

En esta página, se describe cómo agregar políticas de la organización en instancias de Cloud SQL para establecer restricciones en Cloud SQL a nivel de proyecto, carpeta u organización. Para obtener una descripción general, consulta Políticas de la organización de Cloud SQL.

Antes de comenzar

1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

2. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

   Ir al selector de proyectos

3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

4. Instala Google Cloud CLI.

5. Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

   gcloud init

6. En la página del selector de proyectos de la consola de Google Cloud, selecciona o crea un proyecto de Google Cloud.

   Ir al selector de proyectos

7. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

8. Instala Google Cloud CLI.

9. Para inicializar la CLI de gcloud, ejecuta el siguiente comando:

   gcloud init

10. Agrega el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu cuenta de usuario o servicio desde la página IAM y administración.

    Ir a la página Cuentas de IAM

11. Consulta Restricciones antes de realizar este procedimiento.

Agrega la política de la organización de conexión

Para obtener una descripción general, consulta Políticas de la organización de conexión.

Para agregar una política de la organización de conexión, haz lo siguiente:

1. Ir a la página Políticas de la organización.

   Ir a la página Políticas de la organización

2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

3. Filtra para la restricción name o display_name.

   • Para inhabilitar el acceso desde o a Internet:

     name: "constraints/sql.restrictPublicIp"
     display_name: "Restrict Public IP access on Cloud SQL instances"
     

   • Para inhabilitar el acceso desde Internet cuando falta la autenticación de IAM (esto no afecta el acceso mediante IP privada), haz lo siguiente:

     name: "constraints/sql.restrictAuthorizedNetworks"
     display_name: "Restrict Authorized Networks on Cloud SQL instances"
     

4. Selecciona el Nombre de la política de la lista.

5. Haz clic en Edit.

6. Haga clic en Personalizar.

7. Haga clic en Agregar regla.

8. En Aplicación forzosa, haz clic en Activado.

9. Haz clic en Guardar.

Agrega la política de la organización de CMEK

Para obtener una descripción general, consulta Políticas de la organización relativas a claves de encriptación administradas por el cliente.

Para agregar una política de la organización de CMEK, haz lo siguiente:

1. Ir a la página Políticas de la organización.

   Ir a la página Políticas de la organización

2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

3. Filtra para la restricción name o display_name.

   • Para poner nombres de servicio en una lista DENY a fin de asegurarte de que se usan CMEK en los recursos de ese servicio, haz lo siguiente:

     name: "constraints/gcp.restrictNonCmekServices"
     display_name: "Restrict which services may create resources without CMEK"
     

     Debes agregar sqladmin.googleapis.com a la lista de servicios restringidos con Rechazar.

   • Para colocar los ID de proyectos en una lista ALLOW a fin de garantizar que solo las claves de una instancia de Cloud KMS dentro de ese proyecto se usen para CMEK.

     name: "constraints/gcp.restrictCmekCryptoKeyProjects"
     display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
     

4. Selecciona el Nombre de la política de la lista.

5. Haz clic en Edit.

6. Haga clic en Personalizar.

7. Haga clic en Agregar regla.

8. En Valores de la política, haz clic en Personalizados.

9. Para constraints/gcp.restrictNonCmekServices: a. En Tipos de política, selecciona Rechazar. b. En Valores personalizados, ingresa sqladmin.googleapis.com.

   Para constraints/gcp.restrictCmekCryptoKeyProjects: a. En Tipos de política, selecciona Permitir. b. En Valores personalizados, ingresa el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

10. Haga clic en Listo.

11. Haz clic en Guardar.

¿Qué sigue?

• Obtén más información sobre las Políticas de la organización.
• Obtén información sobre cómo funciona la IP privada con Cloud SQL.
• Obtén más información sobre cómo configurar la IP privada para Cloud SQL.
• Obtén más información sobre el servicio de políticas de la organización.
• Obtén más información sobre las restricciones de las políticas de la organización.