Cette page explique comment créer, configurer et gérer des contraintes personnalisées sur des instances Cloud SQL. Pour obtenir une présentation des règles d'administration personnalisées, consultez la page Règles d'administration personnalisées.
Avant de commencer
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Ajoutez le rôle Administrateur des règles d'administration (
roles/orgpolicy.policyAdmin
) à votre compte utilisateur ou de service depuis la page IAM et admin. - Consultez la section Restrictions avant d'effectuer cette procédure.
Champs compatibles pour les contraintes personnalisées
Vous pouvez définir des contraintes personnalisées sur les champs suivants :
Champ | Exemple d'utilisation |
SqlDatabaseVersion | Appliquer l'utilisation de versions de base de données spécifiques |
region | Restreindre la création d'instances à des régions spécifiques |
availabilityType | Appliquer la haute disponibilité |
ipConfiguration > pscConfig > allowedConsumerProjects | Restreindre la liste d'autorisation des projets clients dans PSC à des projets spécifiques |
ipConfiguration > sslMode | Appliquez le mode SSL à ENCRYPTED_ONLY ou TRUSTED_CLIENT_CERTIFICATE_REQUIRED . Vous ne pouvez pas choisir le mode SSL lors de la création d'une instance Cloud SQL dans la console Google Cloud. Ainsi, si vous créez cette règle d'administration personnalisée, vous devez créer une instance Cloud SQL à l'aide de gcloud CLI, de l'API ou de Terraform.
|
dataDiskType | Appliquer l'utilisation de SSD ou HDD |
backupConfiguration > emplacement | Restreindre les emplacements de sauvegarde automatique à des emplacements spécifiques |
backupConfiguration > pointInTimeRecoveryEnabled | Appliquer l'activation de la récupération PITR sur toutes les instances |
backupConfiguration > transactionLogRetentionDays | Appliquer une période de conservation spécifique pour la conservation du journal des transactions à toutes les instances |
backupConfiguration > backupRetentionSettings > retentionUnit | Appliquer le nombre de jours de conservation à toutes les sauvegardes |
passwordValidationPolicy > minLength | Appliquer une longueur minimale dans les règles concernant les mots de passe |
passwordValidationPolicy > complexity | Appliquer la complexité dans les règles concernant les mots de passe |
passwordValidationPolicy > reuseInterval | Appliquer un intervalle de réutilisation spécifique dans les règles concernant les mots de passe |
passwordValidationPolicy > disallowUsernameSubstring | Appliquer l'interdiction de l'utilisation du nom d'utilisateur en tant que mot de passe dans les règles concernant les mots de passe |
Édition | Appliquer l'utilisation de l'édition Enterprise Plus à toutes les instances |
connectorEnforcement | Exiger que toutes les connexions utilisent des connecteurs Cloud SQL |
dataCacheConfig | Exiger que toutes les instances utilisent le cache de données |
Créer et configurer une contrainte personnalisée
Une contrainte personnalisée est définie par un fichier YAML utilisant des ressources, des méthodes, des conditions et des actions compatibles avec le service sur lequel vous appliquez la règle d'administration. Les conditions de vos contraintes personnalisées sont définies à l'aide du langage CEL (Common Expression Language). Pour en savoir plus sur la création de conditions dans des contraintes personnalisées à l'aide du langage CEL, consultez la page Common Expression Language.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Cliquez sur
Contrainte personnalisée.Dans la zone Nom à afficher, saisissez le nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.
Dans la zone ID de contrainte, saisissez le nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par
custom.
et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemplecustom.requireCloudSqlPasswordMinLength
. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exempleorganizations/123456789/customConstraints/custom.
.Dans la zone Description, saisissez pour la contrainte une description conviviale qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.
Dans la zone Type de ressource, sélectionnez le nom de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre (par exemple,
sqladmin.googleapis.com/Instance
). Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue.Sous Méthode d'application, indiquez si vous souhaitez appliquer la contrainte sur la méthode REST
CREATE
ou sur les méthodes RESTCREATE
etUPDATE
.Modifiez la condition et procédez comme suit :
Dans le panneau Ajouter une condition, créez une condition CEL faisant référence à une ressource de service acceptée, par exemple
resource.settings.passwordValidationPolicy.minLength > 10
. Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.Cliquez sur Enregistrer.
Sous Action, indiquez si vous souhaitez autoriser ou refuser la méthode évaluée si la condition ci-dessus est remplie.
L'option Refuser bloque les opérations de création ou de mise à jour de la ressource si la condition renvoie la valeur "true".
L'option Autoriser permet aux opérations de créer ou de mettre à jour la ressource si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.
Cliquez sur Créer une contrainte.
Lorsque vous saisissez une valeur dans chaque champ, la configuration YAML équivalente pour cette contrainte personnalisée s'affiche sur la droite.
gcloud
Pour créer un fichier YAML pour une contrainte personnalisée, utilisez le format suivant :
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- container.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID de votre organisation (par exemple,123456789
).CONSTRAINT_NAME
: nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer parcustom.
et ne peut inclure que des lettres majuscules, minuscules ou des chiffres (par exemple, custom.enableGkeAutopilot). La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, par exempleorganizations/123456789/customConstraints/custom
.RESOURCE_NAME
: nom (pas l'URI) de la ressource REST de l'API GKE contenant l'objet et le champ que vous souhaitez restreindre. Exemple :Cluster
CONDITION
: condition CEL écrite pour une représentation d'une ressource de service acceptée. Ce champ ne doit pas comporter plus de 1 000 caractères.ACTION
: action à effectuer si lacondition
est remplie. Peut être défini surALLOW
ouDENY
.L'option Refuser bloque les opérations de création ou de mise à jour de la ressource si la condition renvoie la valeur "true".
L'option Autoriser permet aux opérations de créer ou de mettre à jour la ressource si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.
DISPLAY_NAME
: nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.DESCRIPTION
: description de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.
gcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
par le chemin d'accès complet à votre fichier de contrainte personnalisée. Par exemple, /home/user/customconstraint.yaml
.
Une fois terminée, vos contraintes personnalisées seront considérées comme des règles d'administration disponibles dans votre liste de règles d'administration Google Cloud.
Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
par l'ID de votre ressource d'organisation.
Pour en savoir plus, consultez la page Afficher les règles d'administration.Appliquer une règle d'administration personnalisée
Une fois qu'une contrainte personnalisée a été configurée, elle fonctionne de la même manière que les contraintes booléennes prédéfinies. Google Cloud vérifie d'abord les contraintes personnalisées pour déterminer si une requête utilisateur est autorisée. Si l'une des règles d'administration personnalisées refuse la requête, celle-ci est rejetée. Ensuite, Google Cloud vérifie si les règles d'administration prédéfinies sont appliquées sur cette ressource.
Vous pouvez appliquer une contrainte booléenne en créant une règle d'administration qui la référence et en appliquant cette règle d'administration à une ressource Google Cloud.Console
Pour appliquer une contrainte booléenne, procédez comme suit :
- Dans la console Google Cloud, accédez à la page Règles d'administration.
- Cliquez sur le sélecteur de projets en haut de la page.
- Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
- Sélectionnez votre contrainte dans la liste sur la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
- Pour configurer la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
- Sur la page Modifier la stratégie, sélectionnez Remplacer la stratégie parente.
- Cliquez sur Ajouter une règle.
- Sous Application, indiquez si l'application de cette règle d'administration doit être activée ou désactivée.
- Pour rendre la règle d'administration conditionnelle sur un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle inconditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
- S'il s'agit d'une contrainte personnalisée, vous pouvez cliquer sur Tester les modifications pour simuler l'effet de cette règle d'administration. Pour en savoir plus, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
- Pour finaliser et appliquer la règle d'administration, cliquez sur Définir la règle. La prise en compte de la règle peut prendre jusqu'à 15 minutes.
gcloud
Pour créer une règle d'administration qui applique une contrainte booléenne, créez un fichier YAML de règle qui référence la contrainte :
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true
Remplacez les éléments suivants :
-
PROJECT_ID
: projet sur lequel vous souhaitez appliquer votre contrainte. -
CONSTRAINT_NAME
: nom que vous avez défini pour la contrainte personnalisée Par exemple,custom.enableGkeAutopilot
.
Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante :
gcloud org-policies set-policy POLICY_PATH
Remplacez POLICY_PATH
par le chemin d'accès complet au fichier YAML de votre règle d'administration. La prise en compte de la règle peut prendre jusqu'à 15 minutes.
Mettre à jour une contrainte personnalisée
Vous pouvez mettre à jour une contrainte personnalisée en la modifiant dans la console Google Cloud, ou en créant un fichier YAML et en exécutant à nouveau la commande gcloud CLI set-custom-constraint
. Comme il n'y a pas de gestion des versions des contraintes personnalisées, cette méthode remplace la contrainte personnalisée existante. Si la contrainte personnalisée est déjà appliquée, la contrainte personnalisée mise à jour prend effet immédiatement.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez mettre à jour la règle d'administration.
Sélectionnez la contrainte que vous souhaitez modifier dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
Cliquez sur
Modifier la contrainte.Modifiez le nom à afficher, la description, la méthode d'application, la condition et l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni son type de ressource.
Cliquez sur Enregistrer les modifications.
gcloud
Pour modifier une contrainte personnalisée existante à l'aide de gcloud CLI, créez un fichier YAML contenant les modifications que vous souhaitez apporter :
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID de votre organisation (par exemple,123456789
).CONSTRAINT_NAME
: nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer parcustom.
et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemplecustom.disableGkeAutoUpgrade
. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exempleorganizations/123456789/customConstraints/custom.
.RESOURCE_NAME
: nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool
Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.METHOD1,METHOD2
: liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir deCREATE
, ou deCREATE
et deUPDATE
. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.CONDITION
: condition CEL faisant référence à une ressource de service compatible, par exemple"resource.management.autoUpgrade == false"
. Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language.ACTION
: action à effectuer si lacondition
est remplie. Peut être défini surALLOW
ouDENY
.DISPLAY_NAME
: nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.DESCRIPTION
: description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.
Après avoir créé une contrainte personnalisée à l'aide de la gcloud CLI, vous devez la configurer pour la rendre disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint
:
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
CONSTRAINT_PATH
par le chemin d'accès complet à votre fichier de contrainte personnalisée. Par exemple, /home/user/customconstraint.yaml
.
Une fois terminée, vos contraintes personnalisées seront considérées comme des règles d'administration disponibles dans votre liste de règles d'administration Google Cloud.
Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints
:
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
ORGANIZATION_ID
par l'ID de votre ressource d'organisation.
Pour en savoir plus, consultez la page Afficher les règles d'administration.Supprimer une contrainte personnalisée
Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de gcloud CLI.
Console
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez supprimer la règle d'administration.
Sélectionnez la contrainte que vous souhaitez supprimer dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
Cliquez sur
Supprimer.Pour confirmer que vous souhaitez supprimer la contrainte, cliquez sur Supprimer.
gcloud
Pour supprimer une contrainte personnalisée, utilisez la commande gcloud CLI org-policies delete-custom-constraint
:
gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
--organization=ORGANIZATION_ID
Remplacez les éléments suivants :
ORGANIZATION_ID
: ID de votre organisation (par exemple,123456789
).CONSTRAINT_NAME
: nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade
Le résultat ressemble à ce qui suit :
Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade
]
Si vous supprimez une contrainte personnalisée, toutes les règles créées à l'aide de cette contrainte continuent d'exister, mais sont ignorées. Vous ne pouvez pas créer une autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.
Exemple : Utiliser une contrainte personnalisée pour appliquer l'utilisation de disques SSD au lieu de disques HDD
Créez le fichier
dataDiskType.yaml
, comme suit :name: organizations/651333429324/customConstraints/custom.dataDiskType resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: resource.settings.dataDiskType == "PD_SSD" actionType: ALLOW displayName: dataDiskType must be PD_SDD description: dataDiskType must be PD_SSD
Cela permet de s'assurer que toutes les méthodes
CREATE
etUPDATE
sur une instance respectent la contrainte selon laquelledataDiskType
est défini surSSD
. Par conséquent, toutes les instances impliquantHDD
sont rejetées.Configurez la contrainte personnalisée au niveau de l'organisation :
gcloud org-policies set-custom-constraint dataDiskType.yaml
Créez le fichier "enforceDataDiskType.yaml" comme suit :
name: projects/custom-constraints-cloudsql3/policies/custom.dataDiskType spec: rules: - enforce: true
Appliquez la contrainte personnalisée au niveau du projet :
gcloud org-policies set-policy enforceDataDiskType.yaml
Étape suivante
- Apprenez-en plus sur les règles d'administration.
- Découvrez comment les adresses IP privées fonctionnent avec Cloud SQL.
- Découvrez comment configurer une adresse IP privée pour Cloud SQL.
- Obtenez plus d'informations sur le service de règles d'administration.
- Apprenez-en plus sur les contraintes liées aux règles d'administration.
- Découvrez comment créer et gérer des règles d'administration personnalisées.