Agrega políticas de la organización de Cloud SQL

En esta página, se describe cómo agregar políticas de la organización en instancias de Cloud SQL para establecer restricciones en Cloud SQL a nivel de proyecto, carpeta u organización. Para obtener una descripción general, consulta Políticas de la organización de Cloud SQL.

Antes de comenzar

  1. Accede a tu cuenta de Google Cloud. Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. Agrega el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu cuenta de usuario o servicio desde la página IAM y administración.

    Ir a la página Cuentas de IAM

  11. Consulta Restricciones antes de realizar este procedimiento.

Agrega la política de la organización de conexión

Para obtener una descripción general, consulta Políticas de la organización de conexión.

Para agregar una política de la organización de conexión, haz lo siguiente:

  1. Ir a la página Políticas de la organización.

    Ir a la página Políticas de la organización

  2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

  3. Filtra para la restricción name o display_name.

    • Para inhabilitar el acceso desde o a Internet:

      name: "constraints/sql.restrictPublicIp"
      display_name: "Restrict Public IP access on Cloud SQL instances"
      
    • Para inhabilitar el acceso desde Internet cuando falta la autenticación de IAM (esto no afecta el acceso mediante IP privada), haz lo siguiente:

      name: "constraints/sql.restrictAuthorizedNetworks"
      display_name: "Restrict Authorized Networks on Cloud SQL instances"
      
  4. Selecciona el Nombre de la política de la lista.

  5. Haz clic en Edit.

  6. Haga clic en Personalizar.

  7. Haga clic en Agregar regla.

  8. En Aplicación forzosa, haz clic en Activado.

  9. Haz clic en Guardar.

Agrega la política de la organización de CMEK

Para obtener una descripción general, consulta Políticas de la organización relativas a claves de encriptación administradas por el cliente.

Para agregar una política de la organización de CMEK, haz lo siguiente:

  1. Ir a la página Políticas de la organización.

    Ir a la página Políticas de la organización

  2. Haz clic en el menú desplegable de proyectos en la pestaña superior y, luego, selecciona el proyecto, la carpeta o la organización que requiere las políticas de la organización. En la página Políticas de la organización, se muestra una lista de las restricciones de la política de la organización que están disponibles.

  3. Filtra para la restricción name o display_name.

    • Para poner nombres de servicio en una lista DENY a fin de asegurarte de que se usan CMEK en los recursos de ese servicio, haz lo siguiente:

      name: "constraints/gcp.restrictNonCmekServices"
      display_name: "Restrict which services may create resources without CMEK"
      

      Debes agregar sqladmin.googleapis.com a la lista de servicios restringidos con Rechazar.

    • Para colocar los ID de proyectos en una lista ALLOW a fin de garantizar que solo las claves de una instancia de Cloud KMS dentro de ese proyecto se usen para CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
      display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
      
  4. Selecciona el Nombre de la política de la lista.

  5. Haz clic en Edit.

  6. Haga clic en Personalizar.

  7. Haga clic en Agregar regla.

  8. En Valores de la política, haz clic en Personalizados.

  9. Para constraints/gcp.restrictNonCmekServices: a. En Tipos de política, selecciona Rechazar. b. En Valores personalizados, ingresa sqladmin.googleapis.com.

    Para constraints/gcp.restrictCmekCryptoKeyProjects: a. En Tipos de política, selecciona Permitir. b. En Valores personalizados, ingresa el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

  10. Haga clic en Listo.

  11. Haz clic en Guardar.

¿Qué sigue?