添加预定义组织政策

MySQL | PostgreSQL | SQL Server

本页面介绍如何在 Cloud SQL 实例上添加组织政策，以便在项目、文件夹或组织级层对 Cloud SQL 施加限制。如需查看概览，请参阅 Cloud SQL 组织政策。

准备工作

登录您的 Google Cloud 账号。如果您是 Google Cloud 新手，请创建一个账号来评估我们的产品在实际场景中的表现。新客户还可获享 $300 赠金，用于运行、测试和部署工作负载。

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

通过 IAM 和管理页面，为您的用户或服务账号添加 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。
转到“IAM 账号”页面
在执行此过程之前，请先参阅限制。

如需简要了解连接组织政策，请参阅连接组织政策。

要添加连接组织政策，请执行以下操作：

如需添加 CMEK 组织政策，请执行以下操作：

转到组织政策页面。

转到“组织政策”页面
点击顶部标签页中的项目下拉菜单，然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。
针对 name 或 display_name 限制条件进行过滤。
- 将服务名称添加到拒绝列表，以确保在该服务的资源中使用 CMEK：
```
name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"
```
  您必须将 sqladmin.googleapis.com 添加到受限服务列表中并设为拒绝。
- 将项目 ID 添加到允许列表，以确保只有该项目中 Cloud KMS 实例的密钥可用于 CMEK。
```
name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
```
从列表中选择政策名称。
点击修改。
点击自定义。
点击添加规则。
在政策值下方，点击自定义。
对于 constraints/gcp.restrictNonCmekServices： a. 在政策类型下，选择拒绝。 b. 在自定义值下，输入 sqladmin.googleapis.com。

对于 constraints/gcp.restrictCmekCryptoKeyProjects： a. 在政策类型下，选择允许。b. 在自定义值下，按照以下格式输入资源：under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 projects/PROJECT_ID。
点击完成。
点击保存。