Ajouter des règles d'administration Cloud SQL

Cette page explique comment ajouter des règles d'administration sur des instances Cloud SQL, afin d'appliquer des restrictions à Cloud SQL au niveau du projet, du dossier ou de l'organisation. Pour en savoir plus, consultez la page Règles d'administration Cloud SQL.

Avant de commencer

  1. Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

  2. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  3. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  4. Installez Google Cloud CLI.

  5. Pour initialiser gcloudCLI, exécutez la commande suivante : 

    gcloud init
    6.

  6. Dans Google Cloud Console, sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud.

    Accéder au sélecteur de projet

  7. Vérifiez que la facturation est activée pour votre projet Google Cloud.

  8. Installez Google Cloud CLI.

  9. Pour initialiser gcloudCLI, exécutez la commande suivante : 

    gcloud init
    10.
  10. Ajoutez le rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) à votre compte utilisateur ou de service depuis la page IAM et admin.

    Accéder à la page des comptes IAM

  11. Consultez la section Restrictions avant d'effectuer cette procédure.

Ajouter la règle d'administration des connexions

Pour en savoir plus, consultez la page Règles d'administration des connexions.

Pour ajouter une règle d'administration des connexions, procédez comme suit :

  1. Accédez à la page Règles d'administration.

    Accéder à la page "Règles d'administration"

  2. Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.

  3. Filtrez la liste sur la contrainte name ou display_name.

    • Pour désactiver l'accès depuis ou à Internet :

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • Pour désactiver l'accès depuis Internet lorsque l'authentification IAM est manquante (cela n'affecte pas l'accès via l'adresse IP privée) :

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. Sélectionnez le nom de la règle dans la liste.

  5. Cliquez sur Modifier.

  6. Cliquez sur Customize (Personnaliser).

  7. Cliquez sur Add rule (Ajouter une règle).

  8. Sous Application, cliquez sur Activé.

  9. Cliquez sur Enregistrer.

Ajouter la règle d'administration CMEK

Pour en savoir plus, consultez la page Règles d'administration des clés de chiffrement gérées par le client.

Pour ajouter une règle d'administration CMEK, procédez comme suit :

  1. Accédez à la page Règles d'administration.

    Accéder à la page "Règles d'administration"

  2. Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.

  3. Filtrez la liste sur la contrainte name ou display_name.

    • Pour placer des noms de services dans une liste DENY (refus), assurez-vous que le chiffrement CMEK est utilisé dans les ressources de ce service:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      Vous devez ajouter sqladmin.googleapis.com à la liste des services limités par la contrainte Deny (refus).

    • Pour placer des ID de projet dans une liste ALLOW (autorisé), assurez-vous que seules les clés d'une instance Cloud KMS de ce projet sont utilisées pour CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. Sélectionnez le nom de la règle dans la liste.

  5. Cliquez sur Modifier.

  6. Cliquez sur Customize (Personnaliser).

  7. Cliquez sur Add rule (Ajouter une règle).

  8. Sous Valeurs de règles, cliquez sur Personnalisé.

  9. Pour constraints/gcp.restrictNonCmekServices : Sous Types de règles, sélectionnez Refuser. b. Sous Valeurs personnalisées, saisissez sqladmin.googleapis.com.

    Pour constraints/gcp.restrictCmekCryptoKeyProjects : Sous Types de règles, sélectionnez Autoriser. Sous Valeurs personnalisées, saisissez la ressource au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

  10. Cliquez sur OK.

  11. Cliquez sur Enregistrer.

Étape suivante