Ajouter des règles d'administration prédéfinies

Cette page explique comment ajouter des règles d'administration sur des instances Cloud SQL, afin d'appliquer des restrictions à Cloud SQL au niveau du projet, du dossier ou de l'organisation. Pour en savoir plus, consultez la page Règles d'administration Cloud SQL.

Avant de commencer

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. Ajoutez le rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) à votre compte utilisateur ou de service depuis la page IAM et admin.

    Accéder à la page des comptes IAM

  11. Consultez la section Restrictions avant d'effectuer cette procédure.

Ajouter la règle d'administration des connexions

Pour en savoir plus, consultez la page Règles d'administration des connexions.

Pour ajouter une règle d'administration des connexions, procédez comme suit :

  1. Accédez à la page Règles d'administration.

    Accéder à la page "Règles d'administration"

  2. Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.

  3. Filtrez la liste sur la contrainte name ou display_name.

    • Pour désactiver l'accès depuis ou à Internet :

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • Pour désactiver l'accès depuis Internet lorsque l'authentification IAM est manquante (cela n'affecte pas l'accès via l'adresse IP privée) :

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. Sélectionnez le nom de la règle dans la liste.

  5. Cliquez sur Modifier.

  6. Cliquez sur Personnaliser.

  7. Cliquez sur Add rule (Ajouter une règle).

  8. Sous Application, cliquez sur Activé.

  9. Cliquez sur Enregistrer.

Ajouter la règle d'administration CMEK

Pour en savoir plus, consultez la page Règles d'administration des clés de chiffrement gérées par le client.

Pour ajouter une règle d'administration CMEK, procédez comme suit :

  1. Accédez à la page Règles d'administration.

    Accéder à la page "Règles d'administration"

  2. Cliquez sur le menu déroulant des projets dans l'onglet supérieur, puis sélectionnez le projet, le dossier ou l'organisation qui requiert la règle d'administration. La page Règles d'administration affiche une liste des contraintes de règles d'administration qui sont disponibles.

  3. Filtrez la liste sur la contrainte name ou display_name.

    • Pour placer des noms de services dans une liste DENY (refus), assurez-vous que le chiffrement CMEK est utilisé dans les ressources de ce service:

      name: "constraints/gcp.restrictNonCmekServices"
      display_name: "Restrict which services may create resources without CMEK"
      

      Vous devez ajouter sqladmin.googleapis.com à la liste des services limités par la contrainte Deny (refus).

    • Pour placer des ID de projet dans une liste ALLOW (autorisé), assurez-vous que seules les clés d'une instance Cloud KMS de ce projet sont utilisées pour CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
      display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
      
  4. Sélectionnez le nom de la règle dans la liste.

  5. Cliquez sur Modifier.

  6. Cliquez sur Personnaliser.

  7. Cliquez sur Add rule (Ajouter une règle).

  8. Sous Valeurs de règles, cliquez sur Personnalisé.

  9. Pour constraints/gcp.restrictNonCmekServices : Sous Types de règles, sélectionnez Refuser. b. Sous Valeurs personnalisées, saisissez sqladmin.googleapis.com.

    Pour constraints/gcp.restrictCmekCryptoKeyProjects : Sous Types de règles, sélectionnez Autoriser. Sous Valeurs personnalisées, saisissez la ressource au format suivant : under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

  10. Cliquez sur OK.

  11. Cliquez sur Enregistrer.

Étape suivante