Cette page explique comment ajouter des règles d'administration sur des instances Cloud SQL, afin d'appliquer des restrictions à Cloud SQL au niveau du projet, du dossier ou de l'organisation. Pour en savoir plus, consultez la page Règles d'administration Cloud SQL.
Avant de commencer
- Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Ajoutez le rôle Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
) à votre compte utilisateur ou de service depuis la page IAM et admin. - Consultez la section Restrictions avant d'effectuer cette procédure.
Ajouter la règle d'administration des connexions
Pour en savoir plus, consultez la page Règles d'administration des connexions.
Pour ajouter une règle d'administration des connexions, procédez comme suit :
Accédez à la page Règles d'administration.
Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.
Filtrez la liste sur la contrainte
name
oudisplay_name
.Pour désactiver l'accès depuis ou à Internet :
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
Pour désactiver l'accès depuis Internet lorsque l'authentification IAM est manquante (cela n'affecte pas l'accès via l'adresse IP privée) :
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Sélectionnez le nom de la règle dans la liste.
Cliquez sur Modifier.
Cliquez sur Personnaliser.
Cliquez sur Add rule (Ajouter une règle).
Sous Application, cliquez sur Activé.
Cliquez sur Enregistrer.
Ajouter la règle d'administration CMEK
Pour en savoir plus, consultez la page Règles d'administration des clés de chiffrement gérées par le client.
Pour ajouter une règle d'administration CMEK, procédez comme suit :
Accédez à la page Règles d'administration.
Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.
Filtrez la liste sur la contrainte
name
oudisplay_name
.Pour placer des noms de services dans une liste DENY (refus), assurez-vous que le chiffrement CMEK est utilisé dans les ressources de ce service:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Vous devez ajouter
sqladmin.googleapis.com
à la liste des services limités par la contrainte Deny (refus).Pour placer des ID de projet dans une liste ALLOW (autorisé), assurez-vous que seules les clés d'une instance Cloud KMS de ce projet sont utilisées pour CMEK.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Sélectionnez le nom de la règle dans la liste.
Cliquez sur Modifier.
Cliquez sur Personnaliser.
Cliquez sur Add rule (Ajouter une règle).
Sous Valeurs de règles, cliquez sur Personnalisé.
Pour
constraints/gcp.restrictNonCmekServices
: Sous Types de règles, sélectionnez Refuser. b. Sous Valeurs personnalisées, saisissezsqladmin.googleapis.com
.Pour
constraints/gcp.restrictCmekCryptoKeyProjects
: Sous Types de règles, sélectionnez Autoriser. Sous Valeurs personnalisées, saisissez la ressource au format suivant :under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
ouprojects/PROJECT_ID
.Cliquez sur OK.
Cliquez sur Enregistrer.
Étape suivante
- Apprenez-en plus sur les règles d'administration.
- Découvrez comment les adresses IP privées fonctionnent avec Cloud SQL.
- Découvrez comment configurer une adresse IP privée pour Cloud SQL.
- Obtenez plus d'informations sur le service de règles d'administration.
- Apprenez-en plus sur les contraintes liées aux règles d'administration.