Adicionar políticas predefinidas da organização

Nesta página, descrevemos como adicionar políticas da organização em instâncias do Cloud SQL para restringir o uso do projeto no nível do projeto, da pasta ou da organização. Para uma visão geral, consulte Políticas da organização do Cloud SQL.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the gcloud CLI.

  5. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  6. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the gcloud CLI.

  10. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  11. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init
  12. Adicione o papel Administrador da política da organização (roles/orgpolicy.policyAdmin) à sua conta de usuário ou de serviço da página IAM e administrador.

    Acessar a página de contas do IAM

  13. Consulte Restrições antes de realizar este procedimento.

    14. Adicionar a política de conexão da organização

    Para uma visão geral, consulte Políticas da organização de conexão.

    Para adicionar uma política da conexão da organização:

    1. Acessar a página Políticas da organização.

      Acessar a página "Políticas da organização"

    2. Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

    3. Filtro para a restrição name ou display_name.

      • Para desativar o acesso à Internet ou a partir dela:

        name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

      • Para desativar o acesso da Internet quando a autenticação do IAM estiver ausente, isso não afetará o acesso usando IP particular:

        name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

    4. Selecione o Nome da política na lista.

    5. Clique em Editar.

    6. Clique em Personalizar.

    7. Clique em Adicionar regra.

    8. Em Aplicação, clique em Ativada.

    9. Clique em Salvar.

    Adicionar a política da organização de CMEK

    Para uma visão geral, consulte Políticas da organização sobre chaves de criptografia gerenciadas pelo cliente.

    Para adicionar uma política da organização para CMEK, siga estas etapas:

    1. Acessar a página Políticas da organização.

      Acessar a página "Políticas da organização"

    2. Clique no menu suspenso de projetos na guia superior e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

    3. Filtro para a restrição name ou display_name.

      • Para colocar nomes de serviços em uma lista DENY para garantir que CMEK seja usada nos recursos desse serviço:

        name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

        Adicione sqladmin.googleapis.com à lista de serviços restritos com Negar.

      • Para colocar os IDs de projetos em uma lista ALLOW para garantir que apenas as chaves de uma instância do Cloud KMS nesse projeto sejam usadas para CMEK.

        name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

    4. Selecione o Nome da política na lista.

    5. Clique em Editar.

    6. Clique em Personalizar.

    7. Clique em Adicionar regra.

    8. Em Valores da política, clique em Personalizado.

    9. No caso de constraints/gcp.restrictNonCmekServices: a. Em Tipos de política, selecione Negar. b. Em Valores personalizados, digite sqladmin.googleapis.com.

      No caso de constraints/gcp.restrictCmekCryptoKeyProjects: Em Tipos de política, selecione Permitir. b. Em Valores personalizados, digite o recurso usando o seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

    10. Clique em Concluído.

    11. Clique em Salvar.

    A seguir