Criteri dell'organizzazione Cloud SQL

Questa pagina spiega come utilizzare un criterio dell'organizzazione con il tuo progetto Cloud SQL. Per iniziare a creare i criteri dell'organizzazione, vedi Aggiungi i criteri dell'organizzazione.

Panoramica

I criteri dell'organizzazione consentono agli amministratori di impostare limitazioni su come gli utenti possono configurare le istanze all'interno dell'organizzazione. I criteri dell'organizzazione utilizzano regole, chiamate vincoli, che l'amministratore dell'organizzazione applica a un progetto, a una cartella o a un'organizzazione. I vincoli applicano il criterio in tutte le istanze. Ad esempio, se provi a creare un'istanza in un'entità con un criterio dell'organizzazione, il vincolo esegue un controllo per assicurarsi che la configurazione dell'istanza rispetti i requisiti del vincolo. Se il controllo non riesce, Cloud SQL non crea l'istanza.

Quando aggiungi progetti a un'organizzazione o a una cartella che utilizza un criterio dell'organizzazione, i progetti ereditano i vincoli del criterio.

Per ulteriori informazioni sui criteri dell'organizzazione, vedi Servizio Criteri dell'organizzazione, Vincoli e Valutazione della gerarchia.

I tipi di criteri dell'organizzazione specifici di Cloud SQL sono i seguenti:

Criteri dell'organizzazione predefiniti

Puoi utilizzare i vincoli predefiniti per controllare le impostazioni dell'IP pubblico e della chiave di crittografia gestita dal cliente (CMEK) delle istanze Cloud SQL. Per un controllo più granulare e personalizzabile su altre impostazioni supportate, puoi utilizzare i vincoli personalizzati. Per ulteriori informazioni, consulta i criteri dell'organizzazione personalizzati.

Criteri di connessione dell'organizzazione

I criteri dell'organizzazione delle connessioni forniscono un controllo centralizzato dell'IP pubblico le impostazioni per Cloud SQL, al fine di ridurre la superficie di attacco di Cloud SQL da internet. Un amministratore dei criteri dell'organizzazione può utilizzare un criterio di connessione per limitare le configurazioni di IP pubblico di Cloud SQL a livello di progetto, cartella o organizzazione.

Vincoli dei criteri di connessione dell'organizzazione

Per il criterio dell'organizzazione di connessione, esistono due tipi di vincoli che forzano l'accesso alle istanze Cloud SQL.

Vincolo Descrizione Predefinito
Limita l'accesso IP pubblico nelle istanze Cloud SQL Questo vincolo booleano limita la configurazione dell'IP pubblico sulle istanze Cloud SQL in cui questo vincolo è impostato True. Questo vincolo non è retroattivo. Cloud SQL istanze con accesso IP pubblico esistente continueranno a funzionare anche dopo viene applicato in modo forzato.

Per impostazione predefinita, l'accesso IP pubblico alle istanze Cloud SQL è consentito.

constraints/sql.restrictPublicIp
CONSENTI
Limita reti autorizzate nelle istanze di Cloud SQL Se impostato su True, questo vincolo booleano limita aggiungendo reti autorizzate per l'accesso al database senza proxy le istanze di Cloud SQL. Questo vincolo non è retroattivo. Le istanze Cloud SQL con reti autorizzate esistenti continuano a funzionare anche dopo l'applicazione del vincolo.
Per impostazione predefinita, puoi aggiungere Reti autorizzate alle istanze Cloud SQL.

constraints/sql.restrictAuthorizedNetworks
CONSENTI

Restrizioni per i criteri di connessione dell'organizzazione

Quando imposti il criterio dell'organizzazione per ogni progetto, devi stabilire se al progetto si applica una delle seguenti condizioni:

Conflitti di indirizzi IP pubblici delle repliche di lettura

Le repliche di lettura Cloud SQL si connettono all'istanza principale tramite la connessione al database non proxy. Utilizza l'impostazione Reti autorizzate dell'istanza principale per configurare esplicitamente o implicitamente gli indirizzi IP pubblici della replica di lettura.

Se sia l'istanza principale sia quella di replica si trovano nella stessa regione e attivano IPv4 privato, non esiste alcun conflitto con i vincoli dei criteri di organizzazione delle connessioni.

Incompatibilità con l'utilizzo di gcloud sql connect

Il comando gcloud sql connect utilizza un indirizzo IP pubblico per connettersi direttamente alle istanze Cloud SQL. Pertanto, non è compatibile con Vincolo sql.restrictPublicIp. Questo è generalmente un problema di Compute Engine che utilizzano l'IP privato.

Inoltre, il comando gcloud sql connect non utilizza il proxy, il che lo rende incompatible con il vincolo sql.restrictAuthorizedNetworks.

Utilizza invece la versione beta del comando:

gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]

Questa versione utilizza il proxy di autenticazione Cloud SQL. Per informazioni di riferimento, consulta gcloud beta sql connect.

La prima volta che esegui questo comando, ti viene richiesto di installare gcloud CLI Componente proxy di autenticazione Cloud SQL. Per farlo, devi disporre dell'autorizzazione di scrittura la directory di installazione dell'SDK gcloud CLI sul tuo computer client.

Accesso ai servizi ospitati su Google Cloud

Se la tua applicazione richiede l'accesso alle istanze Cloud SQL da altri I servizi ospitati da Google Cloud, come App Engine, l'applicazione deve utilizzare un indirizzo IP pubblico indirizzi IP esterni. Non applicare le sql.restrictPublicIp del progetto. Puoi, tuttavia, applicare in modo forzato sql.restrictAuthorizedNetworks, come connessioni da App Engine utilizza la connessione sicura (tramite proxy).

Conflitti di IP pubblico della replica di failover MySQL

Una replica di failover MySQL si comporta come una replica di lettura per la connessione criteri dell'organizzazione. Se entrambe le istanze principali e di replica si trovano nella stessa regione e attivano l'IP privato, non vi è alcun conflitto con i vincoli dei criteri dell'organizzazione di connessione.

Indirizzi IP privati non RFC 1918

Le connessioni a un'istanza Cloud SQL che utilizzano un indirizzo IP privato sono autorizzate automaticamente per gli intervalli di indirizzi RFC 1918. In questo modo tutti i client privati possono accedere al database senza che passa per il proxy. Devi configurare gli intervalli di indirizzi non RFC 1918 come reti autorizzate.

Per utilizzare intervalli IP privati non RFC 1918 non configurati nelle reti autorizzate, puoi eseguire una o entrambe le seguenti azioni:

  1. Non applicare sql.restrictAuthorizedNetworks. Se l'ID anche le reti applicano sql.restrictPublicIp, non puoi configurare nella console. Utilizza invece l'API Cloud SQL o l'interfaccia a riga di comando gcloud.
  2. Utilizza le connessioni inviate tramite proxy per le istanze IP private.

Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)

Cloud SQL supporta due vincoli dei criteri dell'organizzazione che contribuiscono a garantire la protezione di Cloud KMS in un'organizzazione: constraints/gcp.restrictNonCmekServices e constraints/gcp.restrictCmekCryptoKeyProjects.

Il vincolo constraints/gcp.restrictNonCmekServices richiede la protezione CMEK per sqladmin.googleapis.com. Quando aggiungi questo vincolo aggiungi sqladmin.googleapis.com all'elenco dei servizi del criterio Deny, Cloud SQL si rifiuta di creare nuove istanze a meno che non siano abilitate con tramite CMEK.

Il vincolo constraints/gcp.restrictCmekCryptoKeyProjects limita le CryptoKey Cloud KMS da utilizzare per la protezione CMEK nelle istanze Cloud SQL per MySQL. Con questo vincolo, quando Cloud SQL crea una nuova istanza con CMEK, la CryptoKey deve provenire da un un progetto, una cartella o un'organizzazione.

Questi vincoli vengono applicati solo sulle nuove istanze Cloud SQL per MySQL di Compute Engine.

Per ulteriori informazioni di panoramica, consulta Criteri dell'organizzazione CMEK. Per informazioni sui vincoli dei criteri dell'organizzazione CMEK, vedi Vincoli dei criteri dell'organizzazione.

Criteri dell'organizzazione personalizzati

Per un controllo granulare e personalizzabile delle impostazioni, puoi creare limitazioni personalizzate e utilizzarle in un criterio dell'organizzazione personalizzato. Puoi utilizzare criteri dell'organizzazione personalizzati per migliorare la sicurezza, la conformità e la governance.

Per scoprire come creare criteri dell'organizzazione personalizzati, consulta Aggiungi criteri dell'organizzazione personalizzati. Puoi anche visualizzare un elenco di campi supportati per vincoli personalizzati.

Regole di applicazione dei criteri dell'organizzazione

Cloud SQL applica il criterio dell'organizzazione durante le seguenti attività operazioni:

  • Creazione dell'istanza
  • Creazione replica
  • Riavvio dell'istanza
  • Migrazione delle istanze
  • Clona istanza

Come tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate retroattivamente alle istanze esistenti.

  • Un nuovo criterio non ha effetto sulle istanze esistenti.
  • Una configurazione dell'istanza esistente rimane valida, a meno che un utente non modifichi la configurazione dell'istanza da uno stato di conformità a uno di non conformità utilizzando la console, gcloud CLI o RPC.
  • Un aggiornamento di manutenzione pianificato non causa l'applicazione di un criterio perché la manutenzione non modifica la configurazione delle istanze.

Passaggi successivi