Auf dieser Seite wird gezeigt, wie Sie Cloud SQL-Instanzen Organisationsrichtlinien hinzufügen, um Cloud SQL auf Projekt-, Ordner- oder Organisationsebene einzuschränken. Eine Übersicht finden Sie unter Cloud SQL-Organisationsrichtlinien.
Vorbereitung
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (
roles/orgpolicy.policyAdmin
) Ihrem Nutzer- oder Dienstkonto hinzu. - Beachten Sie die Einschränkungen, für diesen Vorgang.
Organisationsrichtlinie für Verbindung hinzufügen
Eine Übersicht finden Sie unter Organisationsrichtlinien für die Verbindung.
So fügen Sie eine Organisationsrichtlinie für Verbindungen hinzu:
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.
Filtern Sie nach der Einschränkung
name
oderdisplay_name
.So deaktivieren Sie den Zugriff auf das oder aus dem Internet:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
So deaktivieren Sie den Zugriff aus dem Internet, wenn die IAM-Authentifizierung fehlt (dies betrifft nicht den Zugriff über eine private IP-Adresse):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Wählen Sie aus der Liste die Richtlinie Name aus.
Klicken Sie auf Bearbeiten.
Klicken Sie auf Anpassen.
Klicken Sie auf Regel hinzufügen.
Klicken Sie unter Erzwingung auf An.
Klicken Sie auf Speichern.
CMEK-Organisationsrichtlinie hinzufügen
Eine Übersicht finden Sie unter Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel.
So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:
Rufen Sie die Seite Organisationsrichtlinien auf.
Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.
Filtern Sie nach der Einschränkung
name
oderdisplay_name
.So fügen Sie Dienstnamen in eine DENY-Liste ein, um sicherzustellen, dass CMEK in den Ressourcen für diesen Dienst verwendet wird:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
Sie müssen
sqladmin.googleapis.com
zur Liste der eingeschränkten Dienste mit "Ablehnen" hinzufügen.Sie fügen Projekt-IDs in eine ALLOW-Liste ein, damit nur Schlüssel aus einer Instanz von Cloud KMS in diesem Projekt für CMEK verwendet werden.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Wählen Sie aus der Liste die Richtlinie Name aus.
Klicken Sie auf Bearbeiten.
Klicken Sie auf Anpassen.
Klicken Sie auf Regel hinzufügen.
Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
Für
constraints/gcp.restrictNonCmekServices
: a. Wählen Sie unter Richtlinientypen die Option Ablehnen aus. b. Geben Sie unter Benutzerdefinierte Wertesqladmin.googleapis.com
ein.Für
constraints/gcp.restrictCmekCryptoKeyProjects
: a. Wählen Sie unter Richtlinientypen die Option Zulassen aus. b. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein:under:organizations/ORGANIZATION_ID
,under:folders/FOLDER_ID
oderprojects/PROJECT_ID
.Klicken Sie auf Fertig.
Klicken Sie auf Speichern.
Nächste Schritte
- Informationen zu Organisationsrichtlinien
- Informationen zur Funktionsweise einer privaten IP-Adresse in Cloud SQL
- Informationen zur Konfiguration einer privaten IP-Adresse für Cloud SQL
- Informationen zum Organisationsrichtliniendienst
- Informationen zu Einschränkungen für Organisationsrichtlinien