Questa pagina descrive come aggiungere criteri dell'organizzazione alle istanze Cloud SQL per applicare limitazioni a Cloud SQL a livello di progetto, cartella o organizzazione. Per una panoramica, consulta i criteri dell'organizzazione Cloud SQL.
Prima di iniziare
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Aggiungi il ruolo Amministratore norme dell'organizzazione (
roles/orgpolicy.policyAdmin
) al tuo account utente o di servizio dalla pagina IAM e amministrazione. - Consulta la sezione Restrizioni prima di eseguire questa procedura.
Aggiungi il criterio di connessione dell'organizzazione
Per una panoramica, consulta Criteri di organizzazione delle connessioni.
Per aggiungere un criterio di connessione dell'organizzazione:
Vai alla pagina Criteri dell'organizzazione.
Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Criteri dell'organizzazione mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili.
Filtra per il vincolo
name
odisplay_name
.Per disattivare l'accesso a o da internet:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
Per disattivare l'accesso da internet quando manca l'autenticazione IAM (questo non influisce sull'accesso tramite IP privato):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Seleziona il nome del criterio dall'elenco.
Fai clic su Modifica.
Fai clic su Personalizza.
Fai clic su Aggiungi regola.
In Applicazione, fai clic su On.
Fai clic su Salva.
Aggiungi il criterio CMEK dell'organizzazione
Per una panoramica, vedi Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente.
Per aggiungere un criterio dell'organizzazione CMEK:
Vai alla pagina Criteri dell'organizzazione.
Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Criteri dell'organizzazione mostra un elenco dei vincoli dei criteri dell'organizzazione disponibili.
Filtra per il vincolo
name
odisplay_name
.Per inserire i nomi dei servizi in un elenco DI NEGATE per assicurarti che la chiave CMEK venga utilizzata nelle risorse per quel servizio:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Devi aggiungere
sqladmin.googleapis.com
all'elenco dei servizi con limitazioni con Deny.Per inserire gli ID progetto in un elenco ALLOW per assicurarti che per CMEK vengano utilizzate solo le chiavi di un'istanza di Cloud KMS all'interno del progetto.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Seleziona il nome del criterio dall'elenco.
Fai clic su Modifica.
Fai clic su Personalizza.
Fai clic su Aggiungi regola.
In Valori criterio, fai clic su Personalizzato.
Per
constraints/gcp.restrictNonCmekServices
: a. In Tipi di criteri, seleziona Rifiuta. b. In Valori personalizzati, inseriscisqladmin.googleapis.com
.Per
constraints/gcp.restrictCmekCryptoKeyProjects
: a. In Tipi di criteri, seleziona Consenti. b. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato:under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
oprojects/PROJECT_ID
.Fai clic su Fine.
Fai clic su Salva.
Passaggi successivi
- Scopri di più sui criteri dell'organizzazione.
- Scopri come funziona l'IP privato con Cloud SQL.
- Scopri come configurare l'IP privato per Cloud SQL.
- Scopri di più sul servizio Criteri dell'organizzazione.
- Scopri di più sui vincoli delle policy dell'organizzazione.