Cette page a été traduite par l'API Cloud Translation.

Ajouter des règles d'administration prédéfinies

Cette page explique comment ajouter des règles d'administration sur des instances Cloud SQL, afin d'appliquer des restrictions à Cloud SQL au niveau du projet, du dossier ou de l'organisation. Pour en savoir plus, consultez la page Règles d'administration Cloud SQL.

Avant de commencer

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the gcloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Install the gcloud CLI.

Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Pour initialiser la gcloud CLI, exécutez la commande suivante :

gcloud init

Ajoutez le rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) à votre compte utilisateur ou de service depuis la page IAM et admin.
Accéder à la page des comptes IAM
Consultez la section Restrictions avant d'effectuer cette procédure.

Ajouter la règle d'administration des connexions

Pour en savoir plus, consultez la page Règles d'administration des connexions.

Pour ajouter une règle d'administration des connexions, procédez comme suit :

Accédez à la page Règles d'administration.

Accéder à la page "Règles d'administration"
Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.
Filtrez la liste sur la contrainte name ou display_name.
- Pour désactiver l'accès depuis ou à Internet :
```
name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"
```
- Pour désactiver l'accès depuis Internet lorsque l'authentification IAM est manquante (cela n'affecte pas l'accès via l'adresse IP privée) :
```
name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"
```
Sélectionnez le nom de la règle dans la liste.
Cliquez sur Modifier.
Cliquez sur Personnaliser.
Cliquez sur Add rule (Ajouter une règle).
Sous Application, cliquez sur Activé.
Cliquez sur Enregistrer.

Ajouter la règle d'administration CMEK

Pour en savoir plus, consultez la page Règles d'administration des clés de chiffrement gérées par le client.

Pour ajouter une règle d'administration CMEK, procédez comme suit :

Accédez à la page Règles d'administration.

Accéder à la page "Règles d'administration"
Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.
Filtrez la liste sur la contrainte name ou display_name.
- Pour placer des noms de services dans une liste DENY (refus), assurez-vous que le chiffrement CMEK est utilisé dans les ressources de ce service:
```
name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"
```
  Vous devez ajouter sqladmin.googleapis.com à la liste des services limités par la contrainte Deny (refus).
- Pour placer des ID de projet dans une liste ALLOW (autorisé), assurez-vous que seules les clés d'une instance Cloud KMS de ce projet sont utilisées pour CMEK.
```
name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
```
Sélectionnez le nom de la règle dans la liste.
Cliquez sur Modifier.
Cliquez sur Personnaliser.
Cliquez sur Add rule (Ajouter une règle).
Sous Valeurs de règles, cliquez sur Personnalisé.
Pour constraints/gcp.restrictNonCmekServices : Sous Types de règles, sélectionnez Refuser. b. Sous Valeurs personnalisées, saisissez sqladmin.googleapis.com.

Pour constraints/gcp.restrictCmekCryptoKeyProjects : Sous Types de règles, sélectionnez Autoriser. Sous Valeurs personnalisées, saisissez la ressource au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
Cliquez sur OK.
Cliquez sur Enregistrer.

Étape suivante

Apprenez-en plus sur les règles d'administration.
Découvrez comment les adresses IP privées fonctionnent avec Cloud SQL.
Découvrez comment configurer une adresse IP privée pour Cloud SQL.
Obtenez plus d'informations sur le service de règles d'administration.
Apprenez-en plus sur les contraintes liées aux règles d'administration.

Ajouter des règles d'administration prédéfinies Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Avant de commencer

Ajouter la règle d'administration des connexions

Ajouter la règle d'administration CMEK

Étape suivante

Ajouter des règles d'administration prédéfinies