本页面介绍了如何在 Cloud SQL 实例上添加连接组织政策。组织政策可集中控制 Cloud SQL 的公共 IP 地址设置,从而减少互联网对 Cloud SQL 实例的安全攻击面。组织政策管理员可以使用连接政策在项目、文件夹或组织级层限制 Cloud SQL 的公共 IP 地址配置。如需简要了解连接组织政策,请参阅连接组织政策。
准备工作
- 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
-
在 Google Cloud Console 中的项目选择器页面上,选择或创建一个 Google Cloud 项目。
- 安装 Google Cloud CLI。
-
如需初始化 gcloud CLI,请运行以下命令:
gcloud init
-
在 Google Cloud Console 中的项目选择器页面上,选择或创建一个 Google Cloud 项目。
- 安装 Google Cloud CLI。
-
如需初始化 gcloud CLI,请运行以下命令:
gcloud init
- 通过 IAM 和管理页面,为您的用户或服务帐号添加 Organization Policy Administrator 角色 (
roles/orgpolicy.policyAdmin)。 - 在执行此过程之前,请先参阅限制。
配置组织政策
要设置组织政策,请执行以下操作:
转到组织政策。
从页面顶部的下拉菜单中选择您的项目,然后选择需要组织政策的文件夹或组织。系统会显示可用组织政策限制条件列表。您可以使用这些限制条件来限制对 Cloud SQL 实例的访问。
针对
name或display_name限制条件进行过滤。可用限制条件包括以下各项:如需禁止对互联网的访问或来自互联网的访问,请按如下所述操作:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"缺少 IAM 身份验证时禁止对互联网的访问或来自互联网的访问(这不会影响使用专用 IP 进行的访问):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
点击组织政策限制条件。
点击修改。
选择自定义。
将强制执行更改为开启。
点击保存。系统随即会显示一条消息,说明该限制已更新。