Ajouter des règles d'administration personnalisées

MySQL | PostgreSQL | SQL Server

Cette page explique comment créer, configurer et gérer des contraintes personnalisées sur des instances Cloud SQL. Pour obtenir une présentation des règles d'administration personnalisées, consultez la section Règles d'administration personnalisées.

Avant de commencer

Connectez-vous à votre compte Google Cloud. Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de nos produits en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Vérifiez que la facturation est activée pour votre projet Google Cloud.

Installez Google Cloud CLI.

Pour initialiser gcloudCLI, exécutez la commande suivante :

gcloud init

Ajoutez le rôle Administrateur des règles d'administration (roles/orgpolicy.policyAdmin) à votre compte utilisateur ou de service depuis la page IAM et admin.
Accéder à la page des comptes IAM
Consultez la section Restrictions avant d'effectuer cette procédure.

Champs compatibles pour les contraintes personnalisées

Vous pouvez définir des contraintes personnalisées sur les champs suivants :

Champ	Exemple d'utilisation
SqlDatabaseVersion	Imposer l'utilisation de versions de base de données spécifiques
region	Restreindre la création d'instances à des régions spécifiques
availabilityType	Appliquer la haute disponibilité
ipConfiguration > pscConfig > allowedConsumerProjects	Restreindre la liste d'autorisation des projets clients dans PSC à des projets spécifiques
ipConfiguration > sslMode	Appliquez le mode SSL à `ENCRYPTED_ONLY` ou `TRUSTED_CLIENT_CERTIFICATE_REQUIRED`. Vous ne pouvez pas choisir le mode SSL lors de la création d'une instance Cloud SQL dans la console Google Cloud. Ainsi, si vous créez cette règle d'administration personnalisée, vous devez créer une instance Cloud SQL à l'aide de la gcloud CLI, de l'API ou de Terraform.
dataDiskType	Imposer l'utilisation de disques SSD ou HDD
backupConfiguration > location	Limiter les emplacements de sauvegarde automatique à des emplacements spécifiques
backupConfiguration > pointInTimeRecoveryEnabled	Imposer l'activation de la récupération PITR sur toutes les instances
backupConfiguration > transactionLogRetentionDays	Imposer à toutes les instances d'utiliser une durée spécifique pour la période de conservation des journaux de transactions
backupConfiguration > backupRetentionSettings > retentionUnit	Imposer le nombre de jours de conservation pour toutes les sauvegardes
passwordValidationPolicy > minLength	Imposer une longueur minimale dans les règles concernant les mots de passe
passwordValidationPolicy > complexity	Imposer de la complexité dans les règles concernant les mots de passe
passwordValidationPolicy > reuseInterval	Imposer un intervalle de réutilisation spécifique dans les règles concernant les mots de passe
passwordValidationPolicy > disallowUsernameSubstring	Imposer l'interdiction de l'utilisation du nom d'utilisateur en tant que mot de passe dans les règles concernant les mots de passe
Édition	Imposer à toutes les instances d'utiliser l'édition Enterprise Plus
connectorEnforcement	Imposer à toutes les connexions d'utiliser des connecteurs Cloud SQL
dataCacheConfig	Imposer à toutes les instances d'utiliser le cache de données

Créer et configurer une contrainte personnalisée

Une contrainte personnalisée est définie par un fichier YAML utilisant des ressources, des méthodes, des conditions et des actions compatibles avec le service sur lequel vous appliquez la règle d'administration. Les conditions de vos contraintes personnalisées sont définies à l'aide du langage CEL (Common Expression Language). Pour en savoir plus sur la création de conditions dans des contraintes personnalisées à l'aide du langage CEL, consultez la page Common Expression Language.

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.

Accéder à la page Règles d'administration
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez définir la règle d'administration.
Cliquez sur Contrainte personnalisée.
Dans la zone Nom à afficher, saisissez le nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.
Dans la zone ID de contrainte, saisissez le nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.requireCloudSqlPasswordMinLength. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..
Dans la zone Description, saisissez pour la contrainte une description conviviale qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.
Dans la zone Type de ressource, sélectionnez le nom de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre (par exemple, sqladmin.googleapis.com/Instance). Il existe un maximum de 20 contraintes personnalisées par type de ressource. Si vous essayez de créer une contrainte personnalisée pour un type de ressource comportant déjà 20 contraintes personnalisées, l'opération échoue.
Sous Méthode d'application, indiquez si vous souhaitez appliquer la contrainte sur une méthode REST CREATE ou sur les méthodes CREATE et UPDATE.

Attention : Si vous appliquez la contrainte sur une méthode UPDATE, elle est évaluée avant toutes les opérations UPDATE sur les instances Cloud SQL existantes. Cela peut entraîner l'échec des opérations UPDATE sur des instances existantes jusqu'à ce que vous résolviez le non-respect des contraintes.

Modifiez la condition et procédez comme suit :
1. Dans le panneau Ajouter une condition, créez une condition CEL faisant référence à une ressource de service acceptée, par exemple resource.settings.passwordValidationPolicy.minLength > 10. Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language. Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.
2. Cliquez sur Enregistrer.
Sous Action, indiquez si vous souhaitez autoriser ou refuser la méthode évaluée si la condition ci-dessus est remplie.
- L'option Refuser bloque les opérations de création ou de mise à jour de la ressource si la condition renvoie la valeur "true".
- L'option Autoriser permet aux opérations de créer ou de mettre à jour la ressource si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.
Cliquez sur Créer une contrainte.

Lorsque vous saisissez une valeur dans chaque champ, la configuration YAML équivalente pour cette contrainte personnalisée s'affiche sur la droite.

gcloud

Pour créer un fichier YAML pour une contrainte personnalisée, utilisez le format suivant :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- container.googleapis.com/RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).
CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres (par exemple, custom.enableGkeAutopilot). La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, par exemple organizations/123456789/customConstraints/custom.
RESOURCE_NAME : nom (pas l'URI) de la ressource REST de l'API GKE contenant l'objet et le champ que vous souhaitez restreindre. Exemple :Cluster
CONDITION : condition CEL écrite pour une représentation d'une ressource de service acceptée. Ce champ ne doit pas comporter plus de 1 000 caractères.
ACTION : action à effectuer si la condition est remplie. Peut être défini sur ALLOW ou DENY.
- L'option Refuser bloque les opérations de création ou de mise à jour de la ressource si la condition renvoie la valeur "true".
- L'option Autoriser permet aux opérations de créer ou de mettre à jour la ressource si la condition renvoie la valeur "true". Tous les autres cas, à l'exception de ceux explicitement regroupés dans la condition, sont bloqués.
DISPLAY_NAME : nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.
DESCRIPTION : description de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

Après avoir créé une contrainte personnalisée à l'aide de la gcloud CLI, vous devez la configurer pour la rendre disponible pour les règles d'administration de votre organisation. Pour configurer une contrainte personnalisée, utilisez la commande gcloud org-policies set-custom-constraint :

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

Remplacez CONSTRAINT_PATH par le chemin d'accès complet à votre fichier de contrainte personnalisée. Par exemple, /home/user/customconstraint.yaml. Une fois terminée, vos contraintes personnalisées seront considérées comme des règles d'administration disponibles dans votre liste de règles d'administration Google Cloud. Pour vérifier que la contrainte personnalisée existe, utilisez la commande gcloud org-policies list-custom-constraints :

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Appliquer une règle d'administration personnalisée

Une fois qu'une contrainte personnalisée a été configurée, elle fonctionne de la même manière que les contraintes booléennes prédéfinies. Google Cloud vérifie d'abord les contraintes personnalisées pour déterminer si une requête utilisateur est autorisée. Si l'une des règles d'administration personnalisées refuse la requête, celle-ci est rejetée. Ensuite, Google Cloud vérifie si les règles d'administration prédéfinies sont appliquées sur cette ressource.

Vous pouvez appliquer une contrainte booléenne en créant une règle d'administration qui la référence et en appliquant cette règle d'administration à une ressource Google Cloud.

Console

Pour appliquer une contrainte booléenne, procédez comme suit :

Dans la console Google Cloud, accédez à la page Règles d'administration.
Accéder à la page Règles d'administration
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez le projet pour lequel vous souhaitez définir la règle d'administration.
Sélectionnez votre contrainte dans la liste sur la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
Pour configurer la règle d'administration pour cette ressource, cliquez sur Gérer la règle.
Sur la page Modifier la stratégie, sélectionnez Remplacer la stratégie parente.
Cliquez sur Ajouter une règle.
Sous Application, indiquez si l'application de cette règle d'administration doit être activée ou désactivée.
Pour rendre la règle d'administration conditionnelle sur un tag, cliquez sur Ajouter une condition. Notez que si vous ajoutez une règle conditionnelle à une règle d'administration, vous devez ajouter au moins une règle inconditionnelle, sinon la règle ne pourra pas être enregistrée. Pour en savoir plus, consultez Définir une règle d'administration avec des tags.
S'il s'agit d'une contrainte personnalisée, vous pouvez cliquer sur Tester les modifications pour simuler l'effet de cette règle d'administration. Pour en savoir plus, consultez la section Tester les modifications apportées aux règles d'administration à l'aide de Policy Simulator.
Pour finaliser et appliquer la règle d'administration, cliquez sur Définir la règle. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

gcloud

Pour créer une règle d'administration qui applique une contrainte booléenne, créez un fichier YAML de règle qui référence la contrainte :

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Remplacez les éléments suivants :

PROJECT_ID : projet sur lequel vous souhaitez appliquer votre contrainte.
CONSTRAINT_NAME : nom que vous avez défini pour la contrainte personnalisée Exemple : custom.enableGkeAutopilot.

Pour appliquer la règle d'administration contenant la contrainte, exécutez la commande suivante :

    gcloud org-policies set-policy POLICY_PATH

Remplacez POLICY_PATH par le chemin d'accès complet au fichier YAML de votre règle d'administration. La prise en compte de la règle peut prendre jusqu'à 15 minutes.

Mettre à jour une contrainte personnalisée

Vous pouvez mettre à jour une contrainte personnalisée en la modifiant dans la console Google Cloud, ou en créant un fichier YAML et en exécutant à nouveau la commande gcloud CLI set-custom-constraint. Comme il n'y a pas de gestion des versions des contraintes personnalisées, cette méthode remplace la contrainte personnalisée existante. Si la contrainte personnalisée est déjà appliquée, la contrainte personnalisée mise à jour prend effet immédiatement.

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.
Accéder à la page Règles d'administration
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez mettre à jour la règle d'administration.
Sélectionnez la contrainte que vous souhaitez modifier dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
Cliquez sur Modifier la contrainte.
Modifiez le nom à afficher, la description, la méthode d'application, la condition et l'action. Une fois la contrainte créée, vous ne pouvez plus modifier son ID ni son type de ressource.
Cliquez sur Enregistrer les modifications.

gcloud

Pour modifier une contrainte personnalisée existante à l'aide de la gcloud CLI, créez un fichier YAML contenant les modifications que vous souhaitez apporter :

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- METHOD1
- METHOD2
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Remplacez les éléments suivants :

ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).
CONSTRAINT_NAME : nom souhaité pour votre nouvelle contrainte personnalisée. Une contrainte personnalisée doit commencer par custom. et ne peut inclure que des lettres majuscules, minuscules ou des chiffres, comme par exemple custom.disableGkeAutoUpgrade. La longueur maximale de ce champ est de 70 caractères, sans compter le préfixe, comme par exemple organizations/123456789/customConstraints/custom..
RESOURCE_NAME : nom complet de la ressource REST Google Cloud contenant l'objet et le champ que vous souhaitez restreindre. Exemple :container.googleapis.com/NodePool Pour en savoir plus sur les ressources de service que vous pouvez utiliser dans vos contraintes personnalisées, consultez la page Services compatibles avec les contraintes personnalisées.
METHOD1,METHOD2 : liste des méthodes RESTful pour lesquelles la contrainte est appliquée. Il peut s'agir de CREATE, ou de CREATE et de UPDATE. Les services Google Cloud ne sont pas tous compatibles avec les deux méthodes. Pour connaître les méthodes compatibles avec chaque service, recherchez le service dans la section Services compatibles.
CONDITION : condition CEL faisant référence à une ressource de service compatible, par exemple "resource.management.autoUpgrade == false". Ce champ ne doit pas comporter plus de 1 000 caractères. Pour plus d'informations sur l'utilisation du langage CEL, consultez la page Common Expression Language.
ACTION : action à effectuer si la condition est remplie. Peut être défini sur ALLOW ou DENY.
DISPLAY_NAME : nom de la contrainte. Ce champ ne doit pas comporter plus de 200 caractères.
DESCRIPTION : description conviviale de la contrainte, qui sera affichée dans un message d'erreur en cas de non-respect de la règle. Ce champ ne doit pas comporter plus de 2 000 caractères.

gcloud org-policies set-custom-constraint CONSTRAINT_PATH

gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Remplacez ORGANIZATION_ID par l'ID de votre ressource d'organisation. Pour en savoir plus, consultez la page Afficher les règles d'administration.

Supprimer une contrainte personnalisée

Vous pouvez supprimer une contrainte personnalisée à l'aide de la console Google Cloud ou de la gcloud CLI.

Console

Dans la console Google Cloud, accédez à la page Règles d'administration.
Accéder à la page Règles d'administration
Cliquez sur le sélecteur de projets en haut de la page.
Dans le sélecteur de projets, choisissez la ressource pour laquelle vous souhaitez supprimer la règle d'administration.
Sélectionnez la contrainte que vous souhaitez supprimer dans la liste de la page Règles d'administration. La page Détails de la règle associée à cette contrainte doit s'afficher.
Cliquez sur Supprimer.
Pour confirmer la suppression de la contrainte, cliquez sur Supprimer.

gcloud

Pour supprimer une contrainte personnalisée, utilisez la commande gcloud CLI org-policies delete-custom-constraint :

gcloud org-policies delete-custom-constraint custom.CONSTRAINT_NAME \
  --organization=ORGANIZATION_ID

Remplacez les éléments suivants :

ORGANIZATION_ID : ID de votre organisation (par exemple, 123456789).
CONSTRAINT_NAME : nom de votre contrainte personnalisée. Exemple :custom.disableGkeAutoUpgrade

Le résultat ressemble à ce qui suit :

Deleted custom constraint [organizations/123456789/customConstraints/custom.disableGkeAutoUpgrade]

Si vous supprimez une contrainte personnalisée, toutes les règles créées à l'aide de cette contrainte continuent d'exister, mais sont ignorées. Vous ne pouvez pas créer une autre contrainte personnalisée portant le même nom qu'une contrainte personnalisée supprimée.

Exemple : Utiliser une contrainte personnalisée pour appliquer l'utilisation de disques SSD au lieu de disques HDD

Créez le fichier dataDiskType.yaml, comme suit :

name: organizations/651333429324/customConstraints/custom.dataDiskType
resourceTypes:
- sqladmin.googleapis.com/Instance
methodTypes:
- CREATE
- UPDATE
condition: resource.settings.dataDiskType == "PD_SSD"
actionType: ALLOW
displayName: dataDiskType must be PD_SDD
description: dataDiskType must be PD_SSD

Cela permet de s'assurer que toutes les méthodes CREATE et UPDATE d'une instance respectent la contrainte selon laquelle dataDiskType est défini sur SSD. Par conséquent, toutes les instances impliquant HDD sont rejetées.

Configurez la contrainte personnalisée au niveau de l'organisation :
```
gcloud org-policies set-custom-constraint dataDiskType.yaml
```

Créez le fichier "enforceDataDiskType.yaml" comme suit :

name: projects/custom-constraints-cloudsql3/policies/custom.dataDiskType
spec:
rules:
- enforce: true

Appliquez la contrainte personnalisée au niveau du projet :
```
gcloud org-policies set-policy enforceDataDiskType.yaml
```

Étape suivante

Apprenez-en plus sur les règles d'administration.
Découvrez comment les adresses IP privées fonctionnent avec Cloud SQL.
Découvrez comment configurer une adresse IP privée pour Cloud SQL.
Obtenez plus d'informations sur le service de règles d'administration.
Apprenez-en plus sur les contraintes liées aux règles d'administration.
Découvrez comment créer et gérer des règles d'administration personnalisées.