Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Añadir políticas de organización predefinidas

MySQL | PostgreSQL | SQL Server

En esta página se describe cómo añadir políticas de organización a instancias de Cloud SQL para aplicar restricciones a Cloud SQL a nivel de proyecto, carpeta u organización. Para obtener un resumen, consulta las políticas de organización de Cloud SQL.

Antes de empezar

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Install the gcloud CLI.
Configura gcloud CLI para que use tu identidad federada.

Para obtener más información, consulta el artículo Iniciar sesión en la CLI de gcloud con tu identidad federada.
Para inicializar gcloud CLI, ejecuta el siguiente comando:
```
gcloud init
```
Añade el rol Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a tu usuario o cuenta de servicio desde la página IAM y administración.
Ir a la página de cuentas de IAM
Consulta las restricciones antes de llevar a cabo este procedimiento.

Añadir la política de organización de las conexiones

Para obtener una descripción general, consulta Políticas de organización de conexiones.

Para añadir una política de organización de las conexiones, sigue estos pasos:

Ve a la página Políticas de la organización.

Ir a la página Políticas de la organización
En la pestaña superior, haz clic en el menú desplegable de proyectos y, a continuación, selecciona el proyecto, la carpeta o la organización que requiera la política de la organización. En la página Políticas de organización se muestra una lista de las restricciones de las políticas de organización disponibles.
Filtra por la restricción name o display_name.
- Para inhabilitar el acceso a Internet o desde Internet, sigue estos pasos:
```
name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"
```
- Para inhabilitar el acceso desde Internet cuando falte la autenticación de gestión de identidades y accesos (esto no afecta al acceso mediante IP privada), sigue estos pasos:
```
name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"
```
Selecciona el Nombre de la política en la lista.
Haz clic en Editar.
Haz clic en Personalizar.
Haz clic en Añadir regla.
En Aplicación obligatoria, haz clic en Activar.
Haz clic en Guardar.

Añadir la política de organización de CMEK

Para obtener una descripción general, consulta el artículo Políticas de organización de claves de cifrado gestionadas por el cliente.

Para añadir una política de organización de CMEK, sigue estos pasos:

Ve a la página Políticas de la organización.

Ir a la página Políticas de la organización
En la pestaña superior, haz clic en el menú desplegable de proyectos y, a continuación, selecciona el proyecto, la carpeta o la organización que requiera la política de la organización. En la página Políticas de organización se muestra una lista de las restricciones de las políticas de organización disponibles.
Filtra por la restricción name o display_name.
- Para incluir nombres de servicios en una lista de denegación y asegurarte de que se usan CMEK en los recursos de ese servicio, sigue estos pasos:
```
name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"
```
  Debes añadir sqladmin.googleapis.com a la lista de servicios restringidos con Deny.
- Para incluir IDs de proyectos en una lista de permitidos y asegurarte de que solo se usen las claves de una instancia de Cloud KMS de ese proyecto para las CMEK.
```
name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
```
Selecciona el Nombre de la política en la lista.
Haz clic en Editar.
Haz clic en Personalizar.
Haz clic en Añadir regla.
En Valores de la política, haga clic en Personalizado.
Para constraints/gcp.restrictNonCmekServices: a. En Tipos de políticas, selecciona Denegar. b. En Valores personalizados, introduce sqladmin.googleapis.com.

Para constraints/gcp.restrictCmekCryptoKeyProjects: a. En Tipos de políticas, selecciona Permitir. b. En Valores personalizados, introduce el recurso con el siguiente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.
Haz clic en Listo.
Haz clic en Guardar.

Siguientes pasos

Consulta información sobre las políticas de la organización.
Consulta cómo funciona la IP privada con Cloud SQL.
Consulta cómo configurar una IP privada para Cloud SQL.
Consulta información sobre el servicio de políticas de organización.
Consulta información sobre las restricciones de las políticas de la organización.