Organisationsrichtlinien für die Verbindung

Auf dieser Seite finden Sie eine Übersicht über die Verwendung einer Organisationsrichtlinie für Verbindungen mit Ihrem Cloud SQL-Projekt. Informationen zum Erstellen von Organisationsrichtlinien für Verbindungen finden Sie unter Organisationsrichtlinien für Verbindung konfigurieren.

Übersicht

Mit Organisationsrichtlinien für Verbindungen können Sie die Einstellungen der öffentlichen IP-Adressen für Cloud SQL zentral steuern und damit die Angriffsfläche von Cloud SQL-Instanzen für Sicherheitsattacken aus dem Internet verringern. Ein Administrator für Organisationsrichtlinien kann mit einer Verbindungsrichtlinie die Konfigurationen von öffentlichen IP-Adressen für Cloud SQL auf Projekt-, Ordner- oder Organisationsebene einschränken.

Informationen zu Organisationsrichtlinien

Mit Organisationsrichtlinien können Administratoren einer Organisation den Handlungsspielraum von Nutzern beim Konfigurieren von Instanzen in dieser Organisation einschränken. Organisationsrichtlinien verwenden Regeln, sogenannte Einschränkungen, die der Organisationsadministrator für ein Projekt, einen Ordner oder eine Organisation festlegt. Durch Einschränkungen wird die Richtlinie für alle Instanzen erzwungen. Wenn Sie beispielsweise einer Entität, die einer Organisationsrichtlinie unterliegt, eine Instanz hinzufügen, wird geprüft, ob die Instanzkonfiguration die Anforderungen der Einschränkung erfüllt. Wenn die Prüfung fehlschlägt, wird die Instanz von Cloud SQL nicht erstellt.

Wenn Sie einer Organisation oder einem Ordner, der eine Organisationsrichtlinie verwendet, Projekte hinzufügen, übernehmen die Projekte die Einschränkungen dieser Richtlinie.

Weitere Informationen zu Organisationsrichtlinien finden Sie unter Organisationsrichtliniendienst, Einschränkungen und Informationen zu Evaluierungen der Hierarchie.

Einschränkungen für die Organisationsrichtlinie für Verbindungen

Für die Organisationsrichtlinie für Verbindungen gibt es zwei Arten von Einschränkungen, die den Zugriff auf Cloud SQL-Instanzen auf bestimmte Weise erzwingen.

Einschränkung Beschreibung Standardeinstellung
Zugriff auf öffentliche IP-Adressen bei Cloud SQL-Instanzen einschränken Wenn diese boolesche Einschränkung auf True festgelegt wird, ist die Konfiguration von öffentlichen IP-Adressen für Cloud SQL-Instanzen eingeschränkt. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehendem Zugriff auf eine öffentliche IP-Adresse funktionieren weiterhin, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig ist es der öffentlichen IP-Adresse erlaubt, auf Cloud SQL-Instanzen zuzugreifen.

constraints/sql.restrictPublicIp
ZULASSEN
Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken Wenn diese boolesche Einschränkung auf True festgelegt wird, liegt beim Hinzufügen autorisierter Netzwerke für den Datenbankzugriff ohne Proxy auf Cloud SQL-Instanzen eine Einschränkung vor. Diese Einschränkung ist nicht rückwirkend. Cloud SQL-Instanzen mit bestehenden autorisierten Netzwerken funktionieren dennoch, selbst wenn diese Einschränkung erzwungen wird.
Standardmäßig können autorisierte Netzwerke zu Cloud SQL-Instanzen hinzugefügt werden.

constraints/sql.restrictAuthorizedNetworks
ZULASSEN

Erzwingungsregeln für die Organisationsrichtlinie für Verbindungen

Cloud SQL erzwingt die Organisationsrichtlinie für Verbindungen bei den folgenden Aufgaben:

  • Instanzerstellung
  • Replikaterstellung
  • Neukonfiguration der Instanz
  • Klonen von Instanzen
  • Instanzwiederherstellung

Wie alle Einschränkungen für Cloud SQL-Organisationsrichtlinien gelten Richtlinienänderungen nicht rückwirkend für vorhandene Instanzen.

  • Eine neue Richtlinie hat keine Auswirkungen auf vorhandene Instanzen.
  • Eine vorhandene Instanzkonfiguration bleibt gültig, sofern deren Compliancestatus nicht von einem Nutzer über die Console, das gcloud-Befehlszeilentool oder einen RPC in einen Nicht-Compliancestatus geändert wird.
  • Ein geplantes Wartungsupdate führt nicht zu einer Richtlinienerzwingung, da durch die Wartung die Konfiguration der Instanzen nicht geändert wird.

Beschränkungen

Wenn Sie die Organisationsrichtlinie für Verbindungen pro Projekt festlegen, müssen Sie sich überlegen, ob einer der folgenden Punkte auf das jeweilige Projekt zutrifft:

Konflikte mit öffentlichen IP-Adressen von Lesereplikaten

Cloud SQL-Lesereplikate stellen über eine Datenbankverbindung ohne Proxy eine Verbindung zur primären Instanz her. Die öffentlichen IP-Adressen des Lesereplikats werden von Ihnen über die Einstellung Autorisierte Netzwerke der primären Instanz entweder explizit oder implizit konfiguriert.

Wenn sich sowohl die primäre Instanz als auch die Replikatinstanz in derselben Region befinden und eine private IP-Adresse aktivieren, kommt es zu keinem Konflikt mit Einschränkungen für die Organisationsrichtlinie für Verbindungen.

Inkompatibilität bei Verwendung des Befehls gcloud sql connect

Der Befehl gcloud sql connect stellt mithilfe einer öffentlichen IP-Adresse eine direkte Verbindung zu Cloud SQL-Instanzen her. Daher ist er mit der Einschränkung sql.restrictPublicIp nicht kompatibel. Dies ist generell ein Problem für Instanzen, die eine private IP-Adresse verwenden.

Darüber hinaus wird der Proxy vom Befehl gcloud sql connect nicht verwendet, sodass der Befehl mit der Einschränkung sql.restrictAuthorizedNetworks nicht kompatibel ist.

Verwenden Sie stattdessen die Betaversion des Befehls:

gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]

Diese Version verwendet den Cloud SQL Auth-Proxy. Weitere Informationen finden Sie in der Referenz zu gcloud beta sql connect.

Wenn Sie diesen Befehl zum ersten Mal ausführen, werden Sie zur Installation der Cloud SQL Auth-Proxy-Komponente von gcloud aufgefordert. Hierfür benötigen Sie eine Schreibberechtigung für das gcloud SDK-Installationsverzeichnis auf Ihrem Clientcomputer.

Zugriff auf von der GCP gehostete Dienste

Wenn Ihre Anwendung Zugriff auf Cloud SQL-Instanzen von anderen auf der GCP gehosteten Diensten wie App Engine benötigt, muss die Anwendung öffentliche IP-Adressen verwenden. Erzwingen Sie nicht die Einschränkung sql.restrictPublicIp für das Projekt. Sie können jedoch sql.restrictAuthorizedNetworks erzwingen, da Verbindungen von App Engine über die sichere Verbindung (mit Proxy) hergestellt werden.

Private IP-Adressen außerhalb von RFC 1918

Verbindungen zu einer Cloud SQL-Instanz mit einer privaten IP-Adresse werden für RFC 1918-Adressbereiche automatisch autorisiert. Auf diese Weise können alle privaten Clients ohne Umleitung über den Proxy auf die Datenbank zugreifen. Adressen außerhalb des RFC 1918-Bereichs müssen als autorisierte Netzwerke konfiguriert sein.

Wenn Sie private IP-Bereiche außerhalb von RFC 1918 verwenden möchten, die nicht in den autorisierten Netzwerken konfiguriert sind, können Sie eine oder beide der folgenden Aktionen ausführen:

  1. Erzwingen Sie sql.restrictAuthorizedNetworks nicht. Wenn die autorisierten Netzwerke auch sql.restrictPublicIp erzwingen, können Sie sie nicht in der Konsole konfigurieren. Verwenden Sie stattdessen die Cloud SQL API oder das gcloud-Befehlszeilentool.
  2. Verwenden Sie weitergeleitete Verbindungen für private IP-Instanzen.

Bekannte Probleme

Einschränkung "Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken"

Bei Cloud SQL-Instanzen mit einem bereits vorhandenen Eintrag für autorisierte Netzwerke sind zusätzliche Einträge für autorisierte Netzwerke zulässig, auch wenn die Einschränkung "Autorisierte Netzwerke auf Cloud SQL-Instanzen einschränken" (sql.restrictAuthorizedNetworks) verwendet wird. Dies betrifft auch Instanzen, für die schreibgeschützte Replikate oder Failover-Replikate aktiviert sind, da sie einen Eintrag für autorisierte Netzwerke für das Replikat haben, das für den Nutzer nicht sichtbar ist.

Dieses bekannte Problem wird behoben, wenn die Einschränkung nur das Entfernen von Einträgen aus autorisierten Netzwerken zulässt, nicht das Hinzufügen.

Nächste Schritte