Cloud SQL の組織のポリシーを追加する

このページでは、Cloud SQL インスタンスに関する組織のポリシーを追加して、プロジェクト、フォルダ、組織レベルで Cloud SQL に制限を課す方法について説明します。概要については、Cloud SQL の組織のポリシーをご覧ください。

始める前に

  1. Google Cloud アカウントにログインします。Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Google プロダクトのパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。

  2. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタに移動

  3. Google Cloud プロジェクトで課金が有効になっていることを確認します

  4. Google Cloud CLI をインストールします。

  5. gcloud CLI を初期化するには:

    gcloud init
    6.

  6. Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。

    プロジェクト セレクタに移動

  7. Google Cloud プロジェクトで課金が有効になっていることを確認します

  8. Google Cloud CLI をインストールします。

  9. gcloud CLI を初期化するには:

    gcloud init
    10.
  10. [IAM と管理] ページから、組織ポリシー管理者ロール(roles/orgpolicy.policyAdmin)をユーザー アカウントまたはサービス アカウントに追加します。

    IAM アカウントのページに移動

  11. この手順を行う前に、制限事項をご覧ください。

接続に関する組織のポリシーを追加する

概要については、接続に関する組織のポリシーをご覧ください。

接続に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • インターネットへのアクセスまたはインターネットからのアクセスを無効にするには:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • IAM 認証がない場合にインターネットからのアクセスを無効にするには(これは、プライベート IP を使用するアクセスには影響しません):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールを追加] をクリックします。

  8. [適用] で、[オン] をクリックします。

  9. [保存] をクリックします。

CMEK に関する組織のポリシーを追加する

概要については、顧客管理の暗号鍵に関する組織のポリシーをご覧ください。

CMEK に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • サービス名を拒否リストに登録して、そのサービスのリソースで CMEK が使用されるようにするには:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      制限付きサービスのリストに sqladmin.googleapis.com を追加して、拒否を設定する必要があります。

    • プロジェクト ID を許可リストに登録して、そのプロジェクト内にある Cloud KMS のインスタンスの鍵のみが CMEK として使用されるようにします。

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールを追加] をクリックします。

  8. [ポリシーの値] で [カスタム] をクリックします。

  9. constraints/gcp.restrictNonCmekServices の場合: a. [ポリシーの種類] で [拒否] を選択します。 b. [カスタム値] で、「sqladmin.googleapis.com」と入力します。

    constraints/gcp.restrictCmekCryptoKeyProjects の場合: a. [ポリシーの種類] で [許可] を選択します。 b. [カスタム値] で、under:organizations/ORGANIZATION_IDunder:folders/FOLDER_ID、または projects/PROJECT_ID の形式でリソースを入力します。

  10. [完了] をクリックします。

  11. [保存] をクリックします。

次のステップ