Questa pagina descrive come aggiungere criteri dell'organizzazione su Cloud SQL di Cloud SQL, per applicare restrizioni a Cloud SQL a livello di progetto, cartella a livello di organizzazione. Per una panoramica, vedi Criteri dell'organizzazione di Cloud SQL.
Prima di iniziare
- Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Aggiungere il ruolo Amministratore criteri organizzazione
(
roles/orgpolicy.policyAdmin
) al tuo account utente o di servizio dal IAM e Console di amministrazione. - Vedi le limitazioni prima di eseguire questa procedura.
Aggiungi il criterio dell'organizzazione di connessione
Per una panoramica, vedi Criteri dell'organizzazione di connessione.
Per aggiungere un criterio dell'organizzazione per la connessione:
Vai alla pagina Criteri dell'organizzazione.
Fai clic sul menu a discesa dei progetti nella scheda in alto, quindi seleziona il progetto, la cartella che richiede il criterio dell'organizzazione. La La pagina Criteri dell'organizzazione mostra un elenco di criteri dell'organizzazione disponibili.
Filtra in base al vincolo
name
odisplay_name
.Per disattivare l'accesso a o da internet:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
Per disabilitare l'accesso da internet in assenza dell'autenticazione IAM (Ciò non influisce sull'accesso tramite IP privato):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Seleziona il criterio Nome dall'elenco.
Fai clic su Modifica.
Fai clic su Personalizza.
Fai clic su Aggiungi regola.
In Applicazione, fai clic su On.
Fai clic su Salva.
Aggiungi il criterio dell'organizzazione CMEK
Per una panoramica, vedi Criteri dell'organizzazione delle chiavi di crittografia gestite dal cliente.
Per aggiungere un criterio dell'organizzazione CMEK:
Vai alla pagina Criteri dell'organizzazione.
Fai clic sul menu a discesa dei progetti nella scheda in alto, quindi seleziona il progetto, la cartella che richiede il criterio dell'organizzazione. La La pagina Criteri dell'organizzazione mostra un elenco di criteri dell'organizzazione disponibili.
Filtra in base al vincolo
name
odisplay_name
.Inserire i nomi dei servizi in un elenco DENY per garantire che CMEK venga utilizzata nella le risorse per quel servizio:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Devi aggiungere
sqladmin.googleapis.com
all'elenco dei servizi limitati con Nega.Inserire gli ID progetto in un elenco ALLOW per garantire che solo le chiavi di un di Cloud KMS all'interno del progetto vengono utilizzate per CMEK.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Seleziona il criterio Nome dall'elenco.
Fai clic su Modifica.
Fai clic su Personalizza.
Fai clic su Aggiungi regola.
In Valori criterio, fai clic su Personalizzato.
Per
constraints/gcp.restrictNonCmekServices
: a. In Tipi di criteri, seleziona Rifiuta. b. In Valori personalizzati, inseriscisqladmin.googleapis.com
.Per
constraints/gcp.restrictCmekCryptoKeyProjects
: a. In Tipi di criteri, seleziona Consenti. b. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato:under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
oprojects/PROJECT_ID
.Fai clic su Fine.
Fai clic su Salva.
Passaggi successivi
- Scopri di più sui criteri dell'organizzazione.
- Scopri come funziona l'IP privato con Cloud SQL.
- Scopri come configurare l'IP privato per Cloud SQL.
- Scopri di più sul servizio Criteri dell'organizzazione.
- Scopri di più sui vincoli dei criteri dell'organizzazione.