Adicionar políticas da organização do Cloud SQL

Nesta página, descrevemos como adicionar políticas da organização em instâncias do Cloud SQL para restringir o uso do projeto no nível do projeto, da pasta ou da organização. Para uma visão geral, consulte Políticas da organização do Cloud SQL.

Antes de começar

  1. Faça login na sua conta do Google Cloud. Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho de nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

  2. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  3. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  4. Instale a CLI do Google Cloud.

  5. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
    6.

  6. No console do Google Cloud, na página do seletor de projetos, selecione ou crie um projeto do Google Cloud.

    Acessar o seletor de projetos

  7. Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

  8. Instale a CLI do Google Cloud.

  9. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
    10.
  10. Adicione o papel Administrador da política da organização (roles/orgpolicy.policyAdmin) à sua conta de usuário ou de serviço da página IAM e administrador.

    Acessar a página de contas do IAM

  11. Consulte Restrições antes de realizar este procedimento.

Adicionar a política de conexão da organização

Para uma visão geral, consulte Políticas da organização de conexão.

Para adicionar uma política da conexão da organização:

  1. Acessar a página Políticas da organização.

    Acessar a página "Políticas da organização"

  2. Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

  3. Filtro para a restrição name ou display_name.

    • Para desativar o acesso à Internet ou a partir dela:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • Para desativar o acesso da Internet quando a autenticação do IAM estiver ausente, isso não afetará o acesso usando IP particular:

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. Selecione o Nome da política na lista.

  5. Clique em Editar.

  6. Clique em Personalizar.

  7. Clique em Adicionar regra.

  8. Em Aplicação, clique em Ativada.

  9. Clique em Save.

Adicionar a política da organização de CMEK

Para uma visão geral, consulte Políticas da organização sobre chaves de criptografia gerenciadas pelo cliente.

Para adicionar uma política da organização para CMEK, siga estas etapas:

  1. Acessar a página Políticas da organização.

    Acessar a página "Políticas da organização"

  2. Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

  3. Filtro para a restrição name ou display_name.

    • Para colocar nomes de serviços em uma lista DENY para garantir que CMEK seja usada nos recursos desse serviço:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      Adicione sqladmin.googleapis.com à lista de serviços restritos com Negar.

    • Para colocar os IDs de projetos em uma lista ALLOW para garantir que apenas as chaves de uma instância do Cloud KMS nesse projeto sejam usadas para CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. Selecione o Nome da política na lista.

  5. Clique em Editar.

  6. Clique em Personalizar.

  7. Clique em Adicionar regra.

  8. Em Valores da política, clique em Personalizado.

  9. No caso de constraints/gcp.restrictNonCmekServices: a. Em Tipos de política, selecione Negar. b. Em Valores personalizados, digite sqladmin.googleapis.com.

    No caso de constraints/gcp.restrictCmekCryptoKeyProjects: Em Tipos de política, selecione Permitir. b. Em Valores personalizados, digite o recurso usando o seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

  10. Clique em Concluído.

  11. Clique em Save.

A seguir