Agrega políticas de la organización predefinidas

En esta página, se describe cómo agregar políticas de la organización en instancias de Cloud SQL para establecer restricciones en Cloud SQL a nivel de proyecto, carpeta u organización. Para obtener una descripción general, consulta Políticas de la organización de Cloud SQL.

Antes de comenzar

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

8. Make sure that billing is enabled for your Google Cloud project.

9. Install the Google Cloud CLI.

10. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

11. To initialize the gcloud CLI, run the following command:

    gcloud init

12. Agrega el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu cuenta de usuario o servicio desde la página IAM y administración.

    Ir a la página Cuentas de IAM

13. Consulta Restricciones antes de realizar este procedimiento.

Agrega la política de la organización de conexión

Para obtener una descripción general, consulta Políticas de la organización de conexión.

Para agregar una política de la organización de conexión, haz lo siguiente:

1. Ir a la página Políticas de la organización.

   Ir a la página Políticas de la organización

2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

3. Filtra para la restricción name o display_name.

   • Para inhabilitar el acceso desde o a Internet:

     name: "constraints/sql.restrictPublicIp"
     display_name: "Restrict Public IP access on Cloud SQL instances"
     

   • Para inhabilitar el acceso desde Internet cuando falta la autenticación de IAM (esto no afecta el acceso mediante IP privada), haz lo siguiente:

     name: "constraints/sql.restrictAuthorizedNetworks"
     display_name: "Restrict Authorized Networks on Cloud SQL instances"
     

4. Selecciona el Nombre de la política de la lista.

5. Haz clic en Editar.

6. Haz clic en Personalizar.

7. Haga clic en Agregar regla.

8. En Aplicación forzosa, haz clic en Activado.

9. Haz clic en Guardar.

Agrega la política de la organización de CMEK

Para obtener una descripción general, consulta Políticas de la organización relativas a claves de encriptación administradas por el cliente.

Para agregar una política de la organización de CMEK, haz lo siguiente:

1. Ir a la página Políticas de la organización.

   Ir a la página Políticas de la organización

2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

3. Filtra para la restricción name o display_name.

   • Para poner nombres de servicio en una lista DENY a fin de asegurarte de que se usan CMEK en los recursos de ese servicio, haz lo siguiente:

     name: "constraints/gcp.restrictNonCmekServices"
     display_name: "Restrict which services may create resources without CMEK"
     

     Debes agregar sqladmin.googleapis.com a la lista de servicios restringidos con Rechazar.

   • Para colocar los ID de proyectos en una lista ALLOW a fin de garantizar que solo las claves de una instancia de Cloud KMS dentro de ese proyecto se usen para CMEK.

     name: "constraints/gcp.restrictCmekCryptoKeyProjects"
     display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
     

4. Selecciona el Nombre de la política de la lista.

5. Haz clic en Editar.

6. Haz clic en Personalizar.

7. Haga clic en Agregar regla.

8. En Valores de la política, haz clic en Personalizados.

9. Para constraints/gcp.restrictNonCmekServices: a. En Tipos de política, selecciona Rechazar. b. En Valores personalizados, ingresa sqladmin.googleapis.com.

   Para constraints/gcp.restrictCmekCryptoKeyProjects: a. En Tipos de política, selecciona Permitir. b. En Valores personalizados, ingresa el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

10. Haz clic en Listo.

11. Haz clic en Guardar.

¿Qué sigue?

• Obtén más información sobre las Políticas de la organización.
• Obtén información sobre cómo funciona la IP privada con Cloud SQL.
• Obtén más información sobre cómo configurar la IP privada para Cloud SQL.
• Obtén más información sobre el servicio de políticas de la organización.
• Obtén más información sobre las restricciones de las políticas de la organización.