En esta página se describe cómo añadir políticas de organización a instancias de Cloud SQL para aplicar restricciones a Cloud SQL a nivel de proyecto, carpeta u organización. Para obtener un resumen, consulta las políticas de organización de Cloud SQL.
Antes de empezar
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the gcloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Install the gcloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init - Añade el rol Administrador de políticas de la organización
(
roles/orgpolicy.policyAdmin) a tu usuario o cuenta de servicio desde la página IAM y administración. - Consulta las restricciones antes de llevar a cabo este procedimiento.
Ve a la página Políticas de la organización.
En la pestaña superior, haz clic en el menú desplegable de proyectos y, a continuación, selecciona el proyecto, la carpeta o la organización que requiera la política de la organización. En la página Políticas de la organización se muestra una lista de las restricciones de las políticas de la organización disponibles.
Filtra por la restricción
nameodisplay_name.Para inhabilitar el acceso a Internet o desde Internet, sigue estos pasos:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"Para inhabilitar el acceso desde Internet cuando falte la autenticación de gestión de identidades y accesos (esto no afecta al acceso mediante IP privada), sigue estos pasos:
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
Selecciona el Nombre de la política en la lista.
Haz clic en Editar.
Haz clic en Personalizar.
Haz clic en Añadir regla.
En Aplicación obligatoria, haz clic en Activar.
Haz clic en Guardar.
Ve a la página Políticas de la organización.
En la pestaña superior, haz clic en el menú desplegable de proyectos y, a continuación, selecciona el proyecto, la carpeta o la organización que requiera la política de la organización. En la página Políticas de la organización se muestra una lista de las restricciones de las políticas de la organización disponibles.
Filtra por la restricción
nameodisplay_name.Para incluir nombres de servicios en una lista de denegación y asegurarte de que se usan CMEK en los recursos de ese servicio, sigue estos pasos:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"Debes añadir
sqladmin.googleapis.coma la lista de servicios restringidos con Deny.Para incluir IDs de proyectos en una lista de permitidos y asegurarte de que solo se usen las claves de una instancia de Cloud KMS de ese proyecto para las CMEK.
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
Selecciona el Nombre de la política en la lista.
Haz clic en Editar.
Haz clic en Personalizar.
Haz clic en Añadir regla.
En Valores de la política, haga clic en Personalizado.
Para
constraints/gcp.restrictNonCmekServices: a. En Tipos de políticas, selecciona Denegar. b. En Valores personalizados, introducesqladmin.googleapis.com.Para
constraints/gcp.restrictCmekCryptoKeyProjects: a. En Tipos de políticas, selecciona Permitir. b. En Valores personalizados, introduce el recurso con el siguiente formato:under:organizations/ORGANIZATION_ID,under:folders/FOLDER_IDoprojects/PROJECT_ID.Haz clic en Listo.
Haz clic en Guardar.
- Consulta información sobre las políticas de la organización.
- Consulta cómo funciona la IP privada con Cloud SQL.
- Consulta cómo configurar una IP privada para Cloud SQL.
- Consulta información sobre el servicio de políticas de organización.
- Consulta información sobre las restricciones de las políticas de la organización.
Añadir la política de organización de las conexiones
Para obtener una descripción general, consulta Políticas de organización de conexiones.
Para añadir una política de organización de las conexiones, sigue estos pasos:
Añadir la política de organización de CMEK
Para obtener una descripción general, consulta el artículo Políticas de organización de claves de cifrado gestionadas por el cliente.
Para añadir una política de organización de CMEK, sigue estos pasos: