このページでは、Cloud SQL インスタンスに関する組織のポリシーを追加して、プロジェクト、フォルダ、組織レベルで Cloud SQL に制限を課す方法について説明します。概要については、Cloud SQL の組織のポリシーをご覧ください。
準備
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
- [IAM と管理] ページから、組織ポリシー管理者ロール(
roles/orgpolicy.policyAdmin
)をユーザー アカウントまたはサービス アカウントに追加します。 - この手順を行う前に、制限事項をご覧ください。
接続に関する組織のポリシーを追加する
概要については、接続に関する組織のポリシーをご覧ください。
接続に関する組織のポリシーを追加するには:
[組織のポリシー] ページに移動します。
上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。
制約
name
またはdisplay_name
をフィルタします。インターネットへのアクセスまたはインターネットからのアクセスを無効にするには:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"
IAM 認証がない場合にインターネットからのアクセスを無効にするには(これは、プライベート IP を使用するアクセスには影響しません):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
リストから、ポリシー [名前] を選択します。
[編集] をクリックします。
[カスタマイズ] をクリックします。
[ルールの追加] をクリックします。
[適用] で、[オン] をクリックします。
[保存] をクリックします。
CMEK に関する組織のポリシーを追加する
概要については、顧客管理の暗号鍵に関する組織のポリシーをご覧ください。
CMEK に関する組織のポリシーを追加するには:
[組織のポリシー] ページに移動します。
上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。
制約
name
またはdisplay_name
をフィルタします。サービス名を拒否リストに登録して、そのサービスのリソースで CMEK が使用されるようにするには:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"
拒否の制限付きサービスのリストに
sqladmin.googleapis.com
を追加する必要があります。プロジェクト ID を許可リストに追加して、そのプロジェクト内にある Cloud KMS のインスタンスからの鍵のみが CMEK に使用されるようにします。
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
リストから、ポリシー [名前] を選択します。
[編集] をクリックします。
[カスタマイズ] をクリックします。
[ルールの追加] をクリックします。
[ポリシーの値] で [カスタム] をクリックします。
constraints/gcp.restrictNonCmekServices
の場合: a. [ポリシーの種類] で [拒否] を選択します。b. [カスタム値] で、「sqladmin.googleapis.com
」を入力します。constraints/gcp.restrictCmekCryptoKeyProjects
の場合: a. [ポリシーの種類] で、[許可] を選択します。b. [カスタム値] で、under:organizations/ORGANIZATION_ID
、under:folders/FOLDER_ID
、またはprojects/PROJECT_ID
の形式でリソースを入力します。[完了] をクリックします。
[保存] をクリックします。
次のステップ
- 組織のポリシーについて学習する。
- Cloud SQL でプライベート IP がどのように機能するかについて学習する。
- Cloud SQL 用にプライベート IP を構成する方法について学習する。
- 組織のポリシー サービスについて学習する。
- 組織のポリシーの制約について学習する。