本页面介绍了如何在 Cloud SQL 实例上添加连接组织政策。组织政策可集中控制 Cloud SQL 的公共 IP 地址设置,从而减少互联网对 Cloud SQL 实例的安全攻击面。组织政策管理员可以使用连接政策在项目、文件夹或组织级层限制 Cloud SQL 的公共 IP 地址配置。 如需简要了解连接组织政策,请参阅连接组织政策。
准备工作
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- 通过 IAM 和管理页面,为您的用户或服务帐号添加 Organization Policy Administrator 角色 (
roles/orgpolicy.policyAdmin
)。 - 在执行此过程之前,请先参阅限制。
配置组织政策
要设置组织政策,请执行以下操作:
转到组织政策。
从页面顶部的下拉菜单中选择您的项目,然后选择需要组织政策的文件夹或组织。系统会显示可用组织政策限制条件列表。您可以使用这些限制条件来限制对 Cloud SQL 实例的访问。
针对
name
或display_name
限制条件进行过滤。 可用限制条件包括以下各项:如需禁止对互联网的访问或来自互联网的访问,请按如下所述操作:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
缺少 IAM 身份验证时禁止对互联网的访问或来自互联网的访问(这不会影响使用专用 IP 进行的访问):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
点击组织政策限制条件。
点击修改。
选择自定义。
将强制执行更改为开启。
点击保存。系统随即会显示一条消息,说明该限制已更新。