En esta página se explica cómo usar una política de organización con tu proyecto de Cloud SQL. Para empezar a crear políticas de organización, consulta el artículo Añadir políticas de organización.
Información general
Las políticas de organización permiten a los administradores de la organización establecer restricciones sobre cómo pueden configurar las instancias los usuarios de esa organización. Las políticas de organización usan reglas, llamadas restricciones, que el administrador de la organización aplica a un proyecto, una carpeta o una organización. Las restricciones aplican la política en todas las instancias. Por ejemplo, si intentas crear una instancia en una entidad que tiene una política de organización, la restricción realiza una comprobación para asegurarse de que la configuración de la instancia cumple los requisitos de la restricción. Si la comprobación falla, Cloud SQL no crea la instancia.
Cuando añades proyectos a una organización o carpeta que usa una política de organización, los proyectos heredan las restricciones de esa política.
Para obtener más información sobre las políticas de organización, consulta los artículos Servicio de políticas de organización, Restricciones y Evaluación de la jerarquía.
Los tipos de políticas de la organización específicas de Cloud SQL son los siguientes:
Políticas de organización predefinidas
Puedes usar las restricciones predefinidas para controlar la configuración de IP pública y de claves de cifrado gestionadas por el cliente (CMEK) de las instancias de Cloud SQL. Si quieres tener un control más detallado y personalizable sobre otros ajustes admitidos, puedes usar restricciones personalizadas. Para obtener más información, consulta las políticas de organización personalizadas.
Políticas de organización de las conexiones
Las políticas de la organización de conexiones proporcionan un control centralizado de los ajustes de IP pública de Cloud SQL para reducir la superficie de ataque de seguridad de las instancias de Cloud SQL desde Internet. Un administrador de políticas de organización puede usar una política de conexión para restringir las configuraciones de IP pública de Cloud SQL a nivel de proyecto, carpeta u organización.
Restricciones de las políticas de organización de las conexiones
En el caso de la política de organización de conexiones, hay dos tipos de restricciones predefinidas que aplican el acceso a las instancias de Cloud SQL. También hay políticas de organización personalizadas que se pueden usar para aplicar políticas de organización de las conexiones. Para obtener más información, consulta los ejemplos de ipConfiguration en ejemplos de restricciones personalizadas.
| Restricción | Descripción | Comportamiento predeterminado |
|---|---|---|
| Restringir el acceso a IP públicas en instancias de Cloud SQL | Esta restricción booleana restringe la configuración de IP públicas en las instancias de Cloud SQL en las que se haya aplicado la restricción.True Esta restricción no es retroactiva. Las instancias de Cloud SQL que ya tengan acceso a IP públicas seguirán funcionando aunque se aplique la restricción.
De forma predeterminada, se permite el acceso a IP públicas a las instancias de Cloud SQL. constraints/sql.restrictPublicIp
|
Permitido |
| Restringir las redes autorizadas en las instancias de Cloud SQL | Si se define como True, esta restricción booleana restringe que se añadan redes autorizadas a instancias de Cloud SQL para el acceso a bases de datos sin proxy. Esta restricción no es retroactiva.
Las instancias de Cloud SQL que ya tengan redes autorizadas seguirán funcionando aunque se aplique la restricción. De forma predeterminada, puedes añadir redes autorizadas a las instancias de Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
Permitido |
Restricciones de las políticas de organización de las conexiones
Cuando definas la política de organización de cada proyecto, debes determinar si se aplica alguna de las siguientes opciones a tu proyecto:
- Conflictos de IP pública de réplicas de lectura
- Incompatibilidad al usar gcloud CLI sql connect
- Acceso a servicios alojadosGoogle Cloud
- Conflictos de IP pública de réplica de conmutación por error de MySQL
- Direcciones IP privadas que no son RFC 1918
Conflictos de direcciones IP públicas de réplicas de lectura
Las réplicas de lectura de Cloud SQL se conectan a la instancia principal a través de la conexión de base de datos sin proxy. Utiliza el ajuste Redes autorizadas de la instancia principal para configurar de forma explícita o implícita las direcciones IP públicas de la réplica de lectura.
Si las instancias principal y de réplica están en la misma región y tienen habilitada la IP privada, no hay ningún conflicto con las restricciones de la política de organización de conexiones.
Incompatibilidad al usar gcloud sql connect
El comando gcloud sql connect usa una dirección IP pública para conectarse directamente a las instancias de Cloud SQL. Por lo tanto, no es compatible con la restricción sql.restrictPublicIp. Por lo general, este problema afecta a las instancias que usan una IP privada.
Además, el comando gcloud sql connect no usa el proxy, por lo que no es compatible con la restricción sql.restrictAuthorizedNetworks.
En su lugar, usa la versión beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Esta versión usa el proxy de autenticación de Cloud SQL. Consulta la referencia de gcloud beta sql connect para obtener más información.
La primera vez que ejecutes este comando, se te pedirá que instales el componente CLI de gcloud proxy de autenticación de Cloud SQL. Para ello, debes tener permiso de escritura en el directorio de instalación del SDK de la CLI de gcloud en tu máquina cliente.
Acceso a servicios alojadosGoogle Cloud
Si tu aplicación necesita acceder a instancias de Cloud SQL desde otros servicios alojados, como App Engine, la aplicación debe usar direcciones IP públicas.Google Cloud No apliques la restricción sql.restrictPublicIp
al proyecto. Sin embargo, puedes aplicar sql.restrictAuthorizedNetworks, ya que las conexiones de App Engine se realizan a través de la conexión segura (proxy).
Conflictos de IP pública de réplica de conmutación por error de MySQL
Una réplica de conmutación por error de MySQL funciona igual que una réplica de lectura en lo que respecta a las políticas de organización de conexiones. Si tanto la instancia principal como la réplica están en la misma región y tienen habilitada la IP privada, no hay ningún conflicto con las restricciones de la política de organización de conexiones.
Direcciones IP privadas que no son RFC 1918
Las conexiones a una instancia de Cloud SQL mediante una dirección IP privada se autorizan automáticamente para los intervalos de direcciones RFC 1918. De esta forma, todos los clientes privados pueden acceder a la base de datos sin pasar por el proxy. Debes configurar los intervalos de direcciones que no sean RFC 1918 como redes autorizadas.
Para usar intervalos de IP privadas que no sean RFC 1918 y que no estén configurados en las redes autorizadas, puedes llevar a cabo una o ambas de las siguientes acciones:
- No implementes
sql.restrictAuthorizedNetworksobligatoriamente. Si las redes autorizadas también aplicansql.restrictPublicIp, no puedes configurarlas en la consola. En su lugar, usa la API de Cloud SQL o la CLI de gcloud. - Usa conexiones proxy para instancias de IP privada.
Políticas de organización de claves de cifrado gestionadas por el cliente (CMEK)
Cloud SQL admite dos restricciones de políticas de organización que ayudan a garantizar la protección con CMEK en toda una organización: constraints/gcp.restrictNonCmekServices y constraints/gcp.restrictCmekCryptoKeyProjects.
La restricción constraints/gcp.restrictNonCmekServices requiere protección CMEK para sqladmin.googleapis.com. Cuando añades esta restricción y añades sqladmin.googleapis.com a la lista de servicios de la política Deny, Cloud SQL rechaza la creación de nuevas instancias a menos que tengan habilitada la CMEK.
La restricción constraints/gcp.restrictCmekCryptoKeyProjects limita las CryptoKeys de Cloud KMS que se pueden usar para la protección con CMEK en instancias de Cloud SQL para MySQL. Con esta restricción, cuando Cloud SQL crea una instancia con CMEK, la CryptoKey debe proceder de un proyecto, una carpeta o una organización permitidos.
Estas restricciones solo se aplican a las instancias de Cloud SQL para MySQL que se creen.
Para obtener más información general, consulta Políticas de organización de CMEK. Para obtener información sobre las restricciones de las políticas de organización de CMEK, consulta Restricciones de las políticas de organización.
Políticas de organización personalizadas
Para tener un control granular y personalizable sobre los ajustes, puedes crear restricciones personalizadas y usarlas en una política de organización personalizada. Puedes usar políticas de organización personalizadas para mejorar la seguridad, el cumplimiento y la gobernanza.
Para saber cómo crear políticas de organización personalizadas, consulta Añadir políticas de organización personalizadas. También puedes consultar una lista de campos admitidos para las restricciones personalizadas.
Reglas de cumplimiento de las políticas de organización
Cloud SQL aplica la política de organización durante las siguientes operaciones:
- Creación de instancia
- Creación de réplicas
- Reinicio de instancias
- Migración de instancias
- Clon de instancia
Al igual que todas las restricciones de políticas de la organización, los cambios en las políticas no se aplican de forma retroactiva a las instancias que ya existen.
- Una nueva política no tiene ningún efecto en las instancias que ya existen.
- Una configuración de instancia sigue siendo válida, a menos que un usuario cambie la configuración de la instancia de un estado de cumplimiento a un estado de incumplimiento mediante la consola, la CLI de gcloud o RPC.
- Una actualización de mantenimiento programada no provoca la aplicación de una política, ya que el mantenimiento no cambia la configuración de las instancias.
Siguientes pasos
- Configurar políticas de organización.
- Consulta cómo funciona la IP privada con Cloud SQL.
- Consulta cómo configurar una IP privada para Cloud SQL.
- Consulta información sobre el servicio de políticas de organización.
- Consulta información sobre las restricciones de las políticas de la organización.