Aggiungere criteri dell'organizzazione predefiniti

Questa pagina descrive come aggiungere policy dell'organizzazione alle istanze Cloud SQL per imporre limitazioni a Cloud SQL a livello di progetto, cartella o organizzazione. Per una panoramica, consulta Criteri dell'organizzazione Cloud SQL.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the gcloud CLI.

  5. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  6. To initialize the gcloud CLI, run the following command:

    gcloud init
  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Make sure that billing is enabled for your Google Cloud project.

  9. Install the gcloud CLI.

  10. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  11. To initialize the gcloud CLI, run the following command:

    gcloud init
  12. Aggiungi il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo utente o account di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

  13. Consulta la sezione Limitazioni prima di eseguire questa procedura.
  14. Aggiungere il criterio di connessione dell'organizzazione

    Per una panoramica, consulta Policy dell'organizzazione per le connessioni.

    Per aggiungere un criterio di connessione dell'organizzazione:

    1. Vai alla pagina Policy dell'organizzazione.

      Vai alla pagina Policy dell'organizzazione

    2. Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

    3. Filtra in base al vincolo name o display_name.

      • Per disattivare l'accesso a internet o da internet:

        name: "constraints/sql.restrictPublicIp"
        display_name: "Restrict Public IP access on Cloud SQL instances"
        
      • Per disabilitare l'accesso da internet quando manca l'autenticazione IAM (questo non influisce sull'accesso tramite IP privato):

        name: "constraints/sql.restrictAuthorizedNetworks"
        display_name: "Restrict Authorized Networks on Cloud SQL instances"
        
    4. Seleziona il Nome del criterio dall'elenco.

    5. Fai clic su Modifica.

    6. Fai clic su Personalizza.

    7. Fai clic su Aggiungi regola.

    8. In Applicazione forzata, fai clic su On.

    9. Fai clic su Salva.

    Aggiungi la policy dell'organizzazione CMEK

    Per una panoramica, vedi Policy dell'organizzazione relative alle chiavi di crittografia gestite dal cliente.

    Per aggiungere un criterio dell'organizzazione CMEK:

    1. Vai alla pagina Policy dell'organizzazione.

      Vai alla pagina Policy dell'organizzazione

    2. Fai clic sul menu a discesa dei progetti nella scheda in alto e seleziona il progetto, la cartella o l'organizzazione che richiede il criterio dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

    3. Filtra in base al vincolo name o display_name.

      • Per inserire i nomi dei servizi in un elenco NEGATO per assicurarti che CMEK venga utilizzato nelle risorse per quel servizio:

        name: "constraints/gcp.restrictNonCmekServices"
        display_name: "Restrict which services may create resources without CMEK"
        

        Devi aggiungere sqladmin.googleapis.com all'elenco dei servizi limitati con Nega.

      • Per inserire gli ID progetto in un elenco CONSENTITI per garantire che per CMEK vengano utilizzate solo le chiavi di un'istanza di Cloud KMS all'interno di quel progetto.

        name: "constraints/gcp.restrictCmekCryptoKeyProjects"
        display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
        
    4. Seleziona il Nome del criterio dall'elenco.

    5. Fai clic su Modifica.

    6. Fai clic su Personalizza.

    7. Fai clic su Aggiungi regola.

    8. Nella sezione Valori policy, fai clic su Personalizzato.

    9. Per constraints/gcp.restrictNonCmekServices: a. In Tipi di policy, seleziona Rifiuta. b. In Valori personalizzati, inserisci sqladmin.googleapis.com.

      Per constraints/gcp.restrictCmekCryptoKeyProjects: a. In Tipi di policy, seleziona Consenti. b. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

    10. Fai clic su Fine.

    11. Fai clic su Salva.

    Passaggi successivi