En esta página, se explica cómo usar una política de la organización con tu proyecto de Cloud SQL. Para comenzar a crear políticas de la organización, consulta Agrega políticas de la organización.
Descripción general
Las políticas de la organización permiten que los administradores de la organización establezcan restricciones en la manera en que los usuarios pueden configurar instancias en esa organización. Las políticas de la organización usan reglas, llamadas restricciones, que el administrador de la organización establece en un proyecto, una carpeta o una organización. Las restricciones aplican la política en todas las instancias. Si, por ejemplo, intentas crear una instancia en una entidad que tiene una política de la organización, la restricción ejecuta una verificación para garantizar que la configuración de la instancia cumpla los requisitos de la restricción. Si la verificación falla, Cloud SQL no crea la instancia.
A medida que agregas proyectos a una organización o carpeta que usa una política de la organización, los proyectos heredan las restricciones de esa política.
Para obtener más información sobre las políticas de la organización, consulta Servicio de políticas de la organización, Restricciones y Evaluación de jerarquías.
Los tipos de políticas de la organización específicas de Cloud SQL son los siguientes:
Políticas de la organización predefinidas
Puedes usar las restricciones predefinidas para controlar la configuración de IP pública y la configuración de la clave de encriptación administrada por el cliente (CMEK) de las instancias de Cloud SQL. Para obtener un control más detallado y personalizable sobre otros parámetros de configuración compatibles, puedes usar restricciones personalizadas. Para obtener más información, consulta Políticas de la organización personalizadas.
Políticas de la organización de conexión
Las políticas de la organización de conexión proporcionan un control centralizado de la configuración de las IP públicas de Cloud SQL para reducir la superficie de ataque de seguridad de las instancias de Cloud SQL desde la Internet. Un administrador de políticas de la organización puede usar una política de conexión para restringir los parámetros de configuración de IP públicas de Cloud SQL a nivel de proyecto, organización o carpeta.
Restricciones de la política de la organización de conexión
Para la política de la organización de conexión, hay dos tipos de restricciones que controlan el acceso a las instancias de Cloud SQL.
Restricción | Descripción | Configuración predeterminada |
---|---|---|
Restringir el acceso de IP pública en las instancias de Cloud SQL | Mediante esta restricción booleana, se limita la configuración de la IP pública en las instancias de Cloud SQL en las que esta restricción se establece en True . Esta restricción no es retroactiva. Las instancias de Cloud SQL con acceso a una IP pública existente aún funcionan incluso después de que se aplique esta restricción.
De forma predeterminada, se permite el acceso de IP pública a las instancias de Cloud SQL. constraints/sql.restrictPublicIp
|
PERMITIR |
Restringir las redes autorizadas en las instancias de Cloud SQL | Cuando se establece en True , esta restricción booleana restringe la adición de redes autorizadas para el acceso de bases de datos sin proxy a instancias de Cloud SQL. Esta restricción no es retroactiva.
Las instancias de Cloud SQL con redes autorizadas existentes aún funcionan incluso después de que se aplique esta restricción. De forma predeterminada, puedes agregar redes autorizadas a las instancias de Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
PERMITIR |
Restricciones para las políticas de conexión de la organización
Cuando estableces la política de la organización para cada proyecto, debes definir si alguna de las siguientes opciones se aplica a tu proyecto:
- Conflictos con las IP públicas de las réplicas de lectura
- Incompatibilidad con gcloud CLI sql connect
- Acceso a los servicios alojados en Google Cloud
- Direcciones IP privadas que no son RFC 1918
Conflictos con las direcciones IP públicas de réplicas de lectura
Las réplicas de lectura de Cloud SQL se conectan a la instancia principal a través de la conexión de base de datos sin proxy. Usa la configuración de redes autorizadas de la instancia principal para configurar de forma explícita o implícita las direcciones IP públicas de réplicas de lectura.
Si la instancia principal y la instancia de réplica están dentro de la misma región y habilitan las IP privadas, no se generan conflictos con las restricciones de la política de conexión de la organización.
Incompatibilidad con gcloud sql connect
El comando gcloud sql connect
usa una dirección IP pública para conectarse directamente a las instancias de Cloud SQL. Por lo tanto, no es compatible con la restricción sql.restrictPublicIp
. Por lo general, es un problema para las instancias que usan una IP privada.
Además, el comando gcloud sql connect
no usa el proxy, por lo que es incompatible con la restricción sql.restrictAuthorizedNetworks
.
En su lugar, usa la versión beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Esta versión usa el proxy de autenticación de Cloud SQL. Consulta gcloud beta sql connect
para obtener información de referencia.
La primera vez que ejecutes este comando, se te pedirá que instales el componente del proxy de autenticación de Cloud SQL de gcloud CLI. Para ello, debes tener permiso de escritura en el directorio de instalación del SDK de gcloud CLI en la máquina cliente.
Acceso a los servicios alojados en Google Cloud
Si la aplicación requiere acceso a instancias de Cloud SQL desde otros servicios alojados en Google Cloud, como App Engine, debe usar direcciones IP públicas. No apliques la restricción sql.restrictPublicIp
al proyecto. Sin embargo, puedes aplicar sql.restrictAuthorizedNetworks
, ya que las conexiones de App Engine pasan por la conexión segura (con proxy).
Direcciones IP privadas que no son RFC 1918
Las conexiones a una instancia de Cloud SQL mediante una dirección IP privada se autorizan de forma automática para los rangos de direcciones RFC 1918. Esto permite que todos los clientes privados accedan a la base de datos sin pasar por el proxy. Debes configurar rangos de direcciones que no sean RFC 1918 como redes autorizadas.
Para usar rangos de IP privadas que no sean RFC 1918 y que no se hayan configurado en las redes autorizadas, puedes realizar una de las siguientes acciones o ambas:
- No apliques
sql.restrictAuthorizedNetworks
. Si las redes autorizadas también aplicansql.restrictPublicIp
, no puedes configurarlas en la consola. En su lugar, usa la API de Cloud SQL o gcloud CLI. - Usa conexiones con proxy para instancias de IP privadas.
Políticas de la organización relativas a claves de encriptación administradas por el cliente (CMEK)
Cloud SQL admite dos restricciones de políticas de la organización que ayudan a garantizar la protección de las CMEK en una organización: constraints/gcp.restrictNonCmekServices
y constraints/gcp.restrictCmekCryptoKeyProjects
.
La restricción constraints/gcp.restrictNonCmekServices
requiere protección de las CMEK para sqladmin.googleapis.com
. Cuando agregas esta restricción y agregas sqladmin.googleapis.com
a la lista de servicios Deny
de la política, Cloud SQL se niega a crear instancias nuevas, a menos que estén habilitadas con CMEK.
La restricción constraints/gcp.restrictCmekCryptoKeyProjects
limita las CryptoKeys de Cloud KMS que se deben usar en la protección de CMEK en instancias de Cloud SQL para PostgreSQL. Con esta restricción, cuando Cloud SQL crea una instancia nueva con CMEK, la CryptoKey debe provenir de un proyecto, una carpeta o una organización permitidos.
Estas restricciones solo se aplican en las instancias de Cloud SQL para PostgreSQL recién creadas.
Si buscas información general, consulta Políticas de la organización relativas a CMEK. Para obtener información sobre las restricciones de las políticas de la organización relativas a CMEK, consulta Restricciones de las políticas de la organización.
Políticas de la organización personalizadas
Para obtener un control detallado y personalizable sobre la configuración, puedes crear restricciones personalizadas y usarlas en una política personalizada de la organización. Puedes usar políticas personalizadas de la organización para mejorar la seguridad, el cumplimiento y la administración.
Para obtener información sobre cómo crear políticas de la organización personalizadas, consulta Agrega políticas de la organización personalizadas. También puedes ver una lista de campos compatibles con las restricciones personalizadas.
Reglas de aplicación de políticas de la organización
Cloud SQL aplica la política de la organización durante las siguientes operaciones:
- Creación de una instancia
- Creación de réplicas
- Reinicio de la instancia
- Migración de instancias
- Clonación de instancias
Al igual que todas las restricciones de políticas de la organización, los cambios de política no se aplican de forma retroactiva a las instancias existentes.
- Una política nueva no afecta a las instancias existentes.
- La configuración de una instancia existente sigue siendo válida, a menos que un usuario la cambie de un estado de cumplimiento a un estado de no cumplimiento mediante la consola, la CLI de gcloud o RPC.
- Una actualización de mantenimiento programada no genera la aplicación de una política, ya que el mantenimiento no cambia la configuración de las instancias.
¿Qué sigue?
- Configura las políticas de la organización.
- Obtén información sobre cómo funciona la IP privada con Cloud SQL.
- Obtén más información sobre cómo configurar la IP privada para Cloud SQL.
- Obtén más información sobre el servicio de políticas de la organización.
- Obtén más información sobre las restricciones de las políticas de la organización.