Nesta página, descrevemos como adicionar políticas da organização em instâncias do Cloud SQL para restringir o uso do projeto no nível do projeto, da pasta ou da organização. Para uma visão geral, consulte Políticas da organização do Cloud SQL.
Antes de começar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verifique se a cobrança está ativada para o seu projeto do Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Adicione o papel Administrador da política da organização
(
roles/orgpolicy.policyAdmin
) à sua conta de usuário ou de serviço da página IAM e administrador. - Consulte Restrições antes de realizar este procedimento.
Adicionar a política de conexão da organização
Para uma visão geral, consulte Políticas da organização de conexão.
Para adicionar uma política da conexão da organização:
Acessar a página Políticas da organização.
Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.
Filtro para a restrição
name
oudisplay_name
.Para desativar o acesso à Internet ou a partir dela:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
Para desativar o acesso da Internet quando a autenticação do IAM estiver ausente, isso não afetará o acesso usando IP particular:
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Selecione o Nome da política na lista.
Clique em Editar.
Clique em Personalizar.
Clique em Adicionar regra.
Em Aplicação, clique em Ativada.
Clique em Save.
Adicionar a política da organização de CMEK
Para uma visão geral, consulte Políticas da organização sobre chaves de criptografia gerenciadas pelo cliente.
Para adicionar uma política da organização para CMEK, siga estas etapas:
Acessar a página Políticas da organização.
Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.
Filtro para a restrição
name
oudisplay_name
.Para colocar nomes de serviços em uma lista DENY para garantir que CMEK seja usada nos recursos desse serviço:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Adicione
sqladmin.googleapis.com
à lista de serviços restritos com Negar.Para colocar os IDs de projetos em uma lista ALLOW para garantir que apenas as chaves de uma instância do Cloud KMS nesse projeto sejam usadas para CMEK.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Selecione o Nome da política na lista.
Clique em Editar.
Clique em Personalizar.
Clique em Adicionar regra.
Em Valores da política, clique em Personalizado.
No caso de
constraints/gcp.restrictNonCmekServices
: a. Em Tipos de política, selecione Negar. b. Em Valores personalizados, digitesqladmin.googleapis.com
.No caso de
constraints/gcp.restrictCmekCryptoKeyProjects
: Em Tipos de política, selecione Permitir. b. Em Valores personalizados, digite o recurso usando o seguinte formato:under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
ouprojects/PROJECT_ID
.Clique em Concluído.
Clique em Save.
A seguir
- Saiba mais sobre as políticas da organização.
- Saiba como o IP privado funciona com o Cloud SQL.
- Saiba como configurar o IP privado para o Cloud SQL.
- Saiba mais sobre o serviço de política da organização.
- Saiba mais sobre restrições da política da organização.