事前定義された組織のポリシーを追加する

このページでは、Cloud SQL インスタンスに関する組織のポリシーを追加して、プロジェクト、フォルダ、組織レベルで Cloud SQL に制限を課す方法について説明します。概要については、Cloud SQL の組織のポリシーをご覧ください。

準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. [IAM と管理] ページから、組織ポリシー管理者ロール(roles/orgpolicy.policyAdmin)をユーザー アカウントまたはサービス アカウントに追加します。

    IAM アカウントのページに移動

  11. この手順を行う前に、制限事項をご覧ください。

接続に関する組織のポリシーを追加する

概要については、接続に関する組織のポリシーをご覧ください。

接続に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • インターネットへのアクセスまたはインターネットからのアクセスを無効にするには:

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • IAM 認証がない場合にインターネットからのアクセスを無効にするには(これは、プライベート IP を使用するアクセスには影響しません):

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールの追加] をクリックします。

  8. [適用] で、[オン] をクリックします。

  9. [保存] をクリックします。

CMEK に関する組織のポリシーを追加する

概要については、顧客管理の暗号鍵に関する組織のポリシーをご覧ください。

CMEK に関する組織のポリシーを追加するには:

  1. [組織のポリシー] ページに移動します。

    [組織のポリシー] ページに移動

  2. 上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。

  3. 制約 name または display_name をフィルタします。

    • サービス名を拒否リストに登録して、そのサービスのリソースで CMEK が使用されるようにするには:

      name: "constraints/gcp.restrictNonCmekServices"
      display_name: "Restrict which services may create resources without CMEK"
      

      拒否の制限付きサービスのリストに sqladmin.googleapis.com を追加する必要があります。

    • プロジェクト ID を許可リストに追加して、そのプロジェクト内にある Cloud KMS のインスタンスからの鍵のみが CMEK に使用されるようにします。

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
      display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
      
  4. リストから、ポリシー [名前] を選択します。

  5. [編集] をクリックします。

  6. [カスタマイズ] をクリックします。

  7. [ルールの追加] をクリックします。

  8. [ポリシーの値] で [カスタム] をクリックします。

  9. constraints/gcp.restrictNonCmekServices の場合: a. [ポリシーの種類] で [拒否] を選択します。b. [カスタム値] で、「sqladmin.googleapis.com」を入力します。

    constraints/gcp.restrictCmekCryptoKeyProjects の場合: a. [ポリシーの種類] で、[許可] を選択します。b. [カスタム値] で、under:organizations/ORGANIZATION_IDunder:folders/FOLDER_ID、または projects/PROJECT_ID の形式でリソースを入力します。

  10. [完了] をクリックします。

  11. [保存] をクリックします。

次のステップ