添加预定义组织政策

本页面介绍如何在 Cloud SQL 实例上添加组织政策，以便在项目、文件夹或组织级层对 Cloud SQL 施加限制。如需查看概览，请参阅 Cloud SQL 组织政策。

准备工作

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Install the Google Cloud CLI.

5. To initialize the gcloud CLI, run the following command:

   gcloud init

6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

7. Make sure that billing is enabled for your Google Cloud project.

8. Install the Google Cloud CLI.

9. To initialize the gcloud CLI, run the following command:

   gcloud init

10. 通过 IAM 和管理页面，为您的用户或服务账号添加 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

    转到“IAM 账号”页面

11. 在执行此过程之前，请先参阅限制。

添加连接组织政策

如需简要了解连接组织政策，请参阅连接组织政策。

要添加连接组织政策，请执行以下操作：

1. 转到组织政策页面。

   转到“组织政策”页面

2. 点击顶部标签页中的项目下拉菜单，然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。

3. 针对 name 或 display_name 限制条件进行过滤。

   • 如需禁止对互联网的访问或来自互联网的访问，请按如下所述操作：

     name: "constraints/sql.restrictPublicIp"
     display_name: "Restrict Public IP access on Cloud SQL instances"
     

   • 在缺少 IAM 身份验证的情况下禁止来自互联网的访问（这不会影响使用专用 IP 进行的访问）：

     name: "constraints/sql.restrictAuthorizedNetworks"
     display_name: "Restrict Authorized Networks on Cloud SQL instances"
     

4. 从列表中选择政策名称。

5. 点击修改。

6. 点击自定义。

7. 点击添加规则。

8. 在强制执行下，点击开启。

9. 点击保存。

添加 CMEK 组织政策

如需查看概览，请参阅客户管理的加密密钥组织政策。

如需添加 CMEK 组织政策，请执行以下操作：

1. 转到组织政策页面。

   转到“组织政策”页面

2. 点击顶部标签页中的项目下拉菜单，然后选择需要组织政策的项目、文件夹或组织。组织政策页面会显示可用的组织政策限制条件列表。

3. 针对 name 或 display_name 限制条件进行过滤。

   • 将服务名称添加到拒绝列表，以确保在该服务的资源中使用 CMEK：

     name: "constraints/gcp.restrictNonCmekServices"
     display_name: "Restrict which services may create resources without CMEK"
     

     您必须将 sqladmin.googleapis.com 添加到受限服务列表中并设为拒绝。

   • 将项目 ID 添加到允许列表，以确保只有该项目中 Cloud KMS 实例的密钥可用于 CMEK。

     name: "constraints/gcp.restrictCmekCryptoKeyProjects"
     display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
     

4. 从列表中选择政策名称。

5. 点击修改。

6. 点击自定义。

7. 点击添加规则。

8. 在政策值下方，点击自定义。

9. 对于 constraints/gcp.restrictNonCmekServices： a. 在政策类型下，选择拒绝。 b. 在自定义值下，输入 sqladmin.googleapis.com。

   对于 constraints/gcp.restrictCmekCryptoKeyProjects： a. 在政策类型下，选择允许。b. 在自定义值下，按照以下格式输入资源：under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID 或 projects/PROJECT_ID。

10. 点击完成。

11. 点击保存。

后续步骤

• 了解组织政策。
• 了解专用 IP 如何与 Cloud SQL 搭配使用。
• 了解如何为 Cloud SQL 配置专用 IP。
• 了解组织政策服务。
• 了解组织政策限制。