添加组织政策

本页面介绍了如何在 Cloud SQL 实例上添加连接组织政策。组织政策可集中控制 Cloud SQL 的公共 IP 地址设置,从而减少互联网对 Cloud SQL 实例的安全攻击面。组织政策管理员可以使用连接政策在项目、文件夹或组织级层限制 Cloud SQL 的公共 IP 地址配置。 如需简要了解连接组织政策,请参阅连接组织政策

准备工作

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. 通过 IAM 和管理页面,为您的用户或服务帐号添加 Organization Policy Administrator 角色 (roles/orgpolicy.policyAdmin)。

    转到 IAM 帐号

  11. 在执行此过程之前,请先参阅限制

配置组织政策

要设置组织政策,请执行以下操作:

  1. 转到组织政策

    转到组织政策

  2. 从页面顶部的下拉菜单中选择您的项目,然后选择需要组织政策的文件夹或组织。系统会显示可用组织政策限制条件列表。您可以使用这些限制条件来限制对 Cloud SQL 实例的访问。

  3. 针对 namedisplay_name 限制条件进行过滤。 可用限制条件包括以下各项:

    • 如需禁止对互联网的访问或来自互联网的访问,请按如下所述操作:

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • 缺少 IAM 身份验证时禁止对互联网的访问或来自互联网的访问(这不会影响使用专用 IP 进行的访问):

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. 点击组织政策限制条件。

  5. 点击修改

  6. 选择自定义

  7. 强制执行更改为开启

  8. 点击保存。系统随即会显示一条消息,说明该限制已更新。

后续步骤