Questa pagina spiega come utilizzare un'organizzazione con il tuo progetto Cloud SQL. Per iniziare a creare i criteri dell'organizzazione, vedi Aggiungi i criteri dell'organizzazione.
Panoramica
I criteri dell'organizzazione consentono agli amministratori dell'organizzazione di impostare limitazioni in che modo gli utenti possono configurare le istanze sotto quella organizzazione. Organizzazione criteri usano regole, chiamate vincoli, che l'amministratore dell'organizzazione in un progetto, una cartella o un'organizzazione. I vincoli applicano il criterio in tutte le istanze. Se, ad esempio, provi ad aggiungere un'istanza a un'entità a cui è associato un criterio dell'organizzazione, il vincolo esegue un controllo per verificare della configurazione dell'istanza segue i requisiti del vincolo. Se il controllo non riesce, Cloud SQL non crea l'istanza.
Quando aggiungi progetti a un'organizzazione o a una cartella che utilizza un'organizzazione i progetti ereditano i vincoli di quel criterio.
Per ulteriori informazioni sui criteri dell'organizzazione, vedi Servizio Criteri dell'organizzazione, Vincoli e Valutazione della gerarchia.
Esistono due tipi di criteri dell'organizzazione specifici di Cloud SQL:
- Criteri dell'organizzazione di connessione
- Criteri dell'organizzazione delle chiavi di crittografia gestite dal cliente (CMEK)
Criteri di connessione dell'organizzazione
I criteri dell'organizzazione delle connessioni forniscono un controllo centralizzato dell'IP pubblico le impostazioni per Cloud SQL, al fine di ridurre la superficie di attacco di Cloud SQL da internet. Un criterio dell'organizzazione L'amministratore può utilizzare un criterio di connessione per limitare le configurazioni degli IP pubblici di Cloud SQL a livello di progetto, cartella o organizzazione.
Vincoli dei criteri dell'organizzazione di connessione
Per il criterio dell'organizzazione delle connessioni, esistono due tipi di vincoli che in modo forzato l'accesso alle istanze Cloud SQL.
| Vincolo | Descrizione | Predefinito |
|---|---|---|
| Limita l'accesso IP pubblico sulle istanze Cloud SQL | Questo vincolo booleano limita la configurazione dell'IP pubblico
sulle istanze Cloud SQL in cui questo vincolo è impostato
True. Questo vincolo non è retroattivo. Cloud SQL
istanze con accesso IP pubblico esistente continueranno a funzionare anche dopo
viene applicato in modo forzato.
Per impostazione predefinita, l'accesso IP pubblico alle istanze Cloud SQL è consentito. constraints/sql.restrictPublicIp
|
CONSENTI |
| Limita reti autorizzate nelle istanze di Cloud SQL | Se impostato su True, questo vincolo booleano limita
aggiungendo reti autorizzate per l'accesso al database senza proxy
le istanze di Cloud SQL. Questo vincolo non è retroattivo.
Le istanze Cloud SQL con reti autorizzate esistenti continuano a funzionare
anche dopo l'applicazione del vincolo. Per impostazione predefinita, puoi aggiungere Reti autorizzate alle istanze Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
CONSENTI |
Restrizioni per i criteri dell'organizzazione di connessione
Quando imposti il criterio dell'organizzazione per ogni progetto, devi determinare se al tuo progetto si applica uno qualsiasi dei seguenti criteri:
- Conflitti IP pubblici delle repliche di lettura
- Incompatibilità con gcloud sql connect
- Accesso ai servizi ospitati di Google Cloud
- Indirizzi IP privati non RFC 1918
Conflitti di indirizzi IP pubblici delle repliche di lettura
Le repliche di lettura di Cloud SQL si connettono all'istanza principale tramite connessione al database senza proxy. Usi l'istanza principale Reti autorizzate per configurare in modo esplicito o implicito gli indirizzi IP pubblici della replica di lettura.
Se sia l'istanza principale sia quella di replica si trovano nella stessa regione e abilitano IP privato, non c'è alcun conflitto con i vincoli dei criteri dell'organizzazione delle connessioni.
Incompatibilità con gcloud sql connect
Il comando gcloud sql connect utilizza un indirizzo IP pubblico per la connessione a
direttamente le istanze Cloud SQL. Pertanto, non è compatibile con
Vincolo sql.restrictPublicIp. Questo è generalmente un problema
di Compute Engine che utilizzano l'IP privato.
Inoltre, il comando gcloud sql connect non usa il proxy, pertanto viene
incompatibile con il vincolo sql.restrictAuthorizedNetworks.
Utilizza invece la versione beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Questa versione utilizza il proxy di autenticazione Cloud SQL. Consulta
gcloud beta sql connect per
informazioni di riferimento.
La prima volta che esegui questo comando, ti viene chiesto di installare lo strumento Componente proxy di autenticazione Cloud SQL. Per farlo, devi disporre dell'autorizzazione di scrittura la directory di installazione di gcloud SDK sul tuo computer client.
Indirizzi IP privati non RFC 1918
Le connessioni a un'istanza Cloud SQL che utilizzano un indirizzo IP privato con l'autorizzazione automatica per RFC 1918 di indirizzi IP esterni. In questo modo tutti i client privati possono accedere al database senza che passa per il proxy. Devi configurare gli intervalli di indirizzi non RFC 1918 come reti autorizzate.
Per utilizzare intervalli IP privati non RFC 1918 che non sono configurati nel reti autorizzate, puoi eseguire una o entrambe le seguenti azioni:
- Non applicare
sql.restrictAuthorizedNetworks. Se l'ID anche le reti applicanosql.restrictPublicIp, non puoi configurare nella console. Utilizza invece l'API Cloud SQL o gcloud CLI. - Utilizza le connessioni inviate tramite proxy per le istanze IP private.
Criteri dell'organizzazione delle chiavi di crittografia gestite dal cliente (CMEK)
Cloud SQL supporta due vincoli dei criteri dell'organizzazione che aiutano a garantire
Protezione CMEK in un'organizzazione: constraints/gcp.restrictNonCmekServices
e constraints/gcp.restrictCmekCryptoKeyProjects.
Il vincolo constraints/gcp.restrictNonCmekServices richiede CMEK
protezione per sqladmin.googleapis.com. Quando aggiungi questo vincolo
aggiungi sqladmin.googleapis.com all'elenco dei servizi del criterio Deny,
Cloud SQL si rifiuta di creare nuove istanze a meno che non siano abilitate con
tramite CMEK.
Il vincolo constraints/gcp.restrictCmekCryptoKeyProjects limita le
CryptoKey Cloud KMS da utilizzare per la protezione CMEK in
Cloud SQL per le istanze SQL Server. Con questo vincolo, quando Cloud SQL
crea una nuova istanza con CMEK, la CryptoKey deve provenire da un
un progetto, una cartella o un'organizzazione.
Questi vincoli vengono applicati solo sulle nuove istanze di Cloud SQL per SQL Server di Compute Engine.
Per ulteriori informazioni, vedi Criteri dell'organizzazione CMEK. Per informazioni sui vincoli dei criteri dell'organizzazione CMEK, vedi Vincoli dei criteri dell'organizzazione.
Regole di applicazione dei criteri dell'organizzazione
Cloud SQL applica il criterio dell'organizzazione durante le seguenti attività operations:
- Creazione dell'istanza
- Creazione replica
- Riavvio dell'istanza
- Migrazione dell'istanza
- Clonazione di istanze
Come tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate retroattivamente alle istanze esistenti.
- Un nuovo criterio non ha effetto sulle istanze esistenti.
- Una configurazione dell'istanza esistente rimane valida, a meno che un utente non modifichi la configurazione dell'istanza da uno stato di conformità a uno di non conformità utilizzando la console, gcloud CLI o RPC.
- Un aggiornamento di manutenzione pianificato non causa l'applicazione di un criterio perché la manutenzione non modifica la configurazione delle istanze.
Passaggi successivi
- Configurazione dei criteri dell'organizzazione.
- Scopri come funziona l'IP privato con Cloud SQL.
- Scopri come configurare l'IP privato per Cloud SQL.
- Scopri di più sul servizio Criteri dell'organizzazione.
- Scopri di più sui vincoli dei criteri dell'organizzazione.