Aggiungi criteri dell'organizzazione Cloud SQL

Questa pagina descrive come aggiungere criteri dell'organizzazione alle istanze Cloud SQL, per applicare limitazioni a Cloud SQL a livello di progetto, cartella o organizzazione. Per una panoramica, consulta i criteri dell'organizzazione di Cloud SQL.

Prima di iniziare

1. Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

2. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

3. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

4. Installa Google Cloud CLI.

5. Per initialize gcloud CLI, esegui questo comando:

   gcloud init

6. Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

   Vai al selettore progetti

7. Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

8. Installa Google Cloud CLI.

9. Per initialize gcloud CLI, esegui questo comando:

   gcloud init

10. Aggiungi il ruolo Amministratore criteri organizzazione (roles/orgpolicy.policyAdmin) al tuo account utente o di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

11. Consulta la sezione Restrizioni prima di eseguire questa procedura.

Aggiungi il criterio dell'organizzazione di connessione

Per una panoramica, consulta Criteri dell'organizzazione di connessione.

Per aggiungere un criterio dell'organizzazione di connessione:

1. Vai alla pagina Criteri dell'organizzazione.

   Vai alla pagina Criteri dell'organizzazione

2. Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Criteri dell'organizzazione mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili.

3. Filtra per il vincolo name o display_name.

   • Per disattivare l'accesso a o da Internet:

     name: "constraints/sql.restrictPublicIp"
     display_name: "Restrict Public IP access on Cloud SQL instances"
     

   • Per disabilitare l'accesso da internet quando manca l'autenticazione IAM (non influisce sull'accesso tramite IP privato):

     name: "constraints/sql.restrictAuthorizedNetworks"
     display_name: "Restrict Authorized Networks on Cloud SQL instances"
     

4. Seleziona il criterio Nome dall'elenco.

5. Fai clic su Modifica.

6. Fai clic su Personalizza.

7. Fai clic su Aggiungi regola.

8. In Applicazione, fai clic su On.

9. Fai clic su Salva.

Aggiungi il criterio dell'organizzazione CMEK

Per una panoramica, vedi Criteri dell'organizzazione relativi alle chiavi di crittografia gestite dal cliente.

Per aggiungere un criterio dell'organizzazione CMEK:

1. Vai alla pagina Criteri dell'organizzazione.

   Vai alla pagina Criteri dell'organizzazione

2. Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Criteri dell'organizzazione mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili.

3. Filtra per il vincolo name o display_name.

   • Per inserire i nomi dei servizi in un elenco DENY per garantire che CMEK venga utilizzata nelle risorse del servizio:

     name: "constraints/gcp.restrictNonCmekServices"
     display_name: "Restrict which services may create resources without CMEK"
     

     Devi aggiungere sqladmin.googleapis.com all'elenco dei servizi limitati con Rifiuta.

   • Inserire gli ID progetto in un elenco CONSENTITO per garantire che per CMEK vengano utilizzate solo le chiavi di un'istanza di Cloud KMS all'interno del progetto.

     name: "constraints/gcp.restrictCmekCryptoKeyProjects"
     display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
     

4. Seleziona il criterio Nome dall'elenco.

5. Fai clic su Modifica.

6. Fai clic su Personalizza.

7. Fai clic su Aggiungi regola.

8. In Valori criterio, fai clic su Personalizzato.

9. Per constraints/gcp.restrictNonCmekServices: a. In Tipi di criteri, seleziona Rifiuta. b. In Valori personalizzati, inserisci sqladmin.googleapis.com.

   Per constraints/gcp.restrictCmekCryptoKeyProjects: a. In Tipi di criteri, seleziona Consenti. b. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

10. Fai clic su Fine.

11. Fai clic su Salva.

Passaggi successivi

• Scopri di più sui criteri dell'organizzazione.
• Scopri come funziona l'IP privato con Cloud SQL.
• Scopri come configurare l'IP privato per Cloud SQL.
• Scopri di più sul servizio Criteri dell'organizzazione.
• Scopri di più sui vincoli dei criteri dell'organizzazione.