添加预定义组织政策

本页面介绍如何在 Cloud SQL 实例上添加组织政策,以便在项目、文件夹或组织级层对 Cloud SQL 施加限制。如需查看概览,请参阅 Cloud SQL 组织政策

准备工作

  1. 登录您的 Google Cloud 账号。如果您是 Google Cloud 新手,请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. 确保您的 Google Cloud 项目已启用结算功能

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. 确保您的 Google Cloud 项目已启用结算功能

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. 通过 IAM 和管理页面,为您的用户或服务账号添加 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

    转到“IAM 账号”页面

  11. 在执行此过程之前,请先参阅限制

添加连接组织政策

如需简要了解连接组织政策,请参阅连接组织政策

要添加连接组织政策,请执行以下操作:

  1. 转到组织政策页面。

    转到“组织政策”页面

  2. 点击顶部标签页中的项目下拉菜单,然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。

  3. 针对 namedisplay_name 限制条件进行过滤。

    • 如需禁止对互联网的访问或来自互联网的访问,请按如下所述操作:

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • 在缺少 IAM 身份验证的情况下禁止来自互联网的访问(这不会影响使用专用 IP 进行的访问):

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. 从列表中选择政策名称

  5. 点击修改

  6. 点击自定义

  7. 点击添加规则

  8. 强制执行下,点击开启

  9. 点击保存

添加 CMEK 组织政策

如需查看概览,请参阅客户管理的加密密钥组织政策

如需添加 CMEK 组织政策,请执行以下操作:

  1. 转到组织政策页面。

    转到“组织政策”页面

  2. 点击顶部标签页中的项目下拉菜单,然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。

  3. 针对 namedisplay_name 限制条件进行过滤。

    • 将服务名称添加到拒绝列表,以确保在该服务的资源中使用 CMEK:

      name: "constraints/gcp.restrictNonCmekServices"
      display_name: "Restrict which services may create resources without CMEK"
      

      您必须将 sqladmin.googleapis.com 添加到受限服务列表中并设为拒绝。

    • 将项目 ID 添加到允许列表,以确保只有该项目中 Cloud KMS 实例的密钥可用于 CMEK。

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
      display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
      
  4. 从列表中选择政策名称

  5. 点击修改

  6. 点击自定义

  7. 点击添加规则

  8. 政策值下方,点击自定义

  9. 对于 constraints/gcp.restrictNonCmekServices: a. 在政策类型下,选择拒绝。 b. 在自定义值下,输入 sqladmin.googleapis.com

    对于 constraints/gcp.restrictCmekCryptoKeyProjects: a. 在政策类型下,选择允许。b. 在自定义值下,按照以下格式输入资源:under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDprojects/PROJECT_ID

  10. 点击完成

  11. 点击保存

后续步骤