Esta página explica como usar uma política de organização com o seu projeto do Cloud SQL. Para começar a criar políticas de organização, consulte o artigo Adicione políticas de organização.
Vista geral
As políticas da organização permitem que os administradores da organização definam restrições sobre a forma como os utilizadores podem configurar instâncias nessa organização. As políticas da organização usam regras, denominadas restrições, que o administrador da organização aplica a um projeto, uma pasta ou uma organização. As restrições aplicam a política em todas as instâncias. Por exemplo, se tentar criar uma instância numa entidade que tenha uma política de organização, a restrição executa uma verificação para garantir que a configuração da instância cumpre os requisitos da restrição. Se a verificação falhar, o Cloud SQL não cria a instância.
À medida que adiciona projetos a uma organização ou uma pasta que usa uma política organizacional, os projetos herdam as restrições dessa política.
Para mais informações sobre as políticas da organização, consulte o serviço de políticas da organização, as restrições e a avaliação da hierarquia.
Os tipos de políticas de organização específicas do Cloud SQL são os seguintes:
Políticas da organização predefinidas
Pode usar as restrições predefinidas para controlar as definições de IP público e as definições de chaves de encriptação geridas pelo cliente (CMEK) das instâncias do Cloud SQL. Para um controlo mais detalhado e personalizável sobre outras definições suportadas, pode usar restrições personalizadas. Para mais informações, consulte as políticas de organização personalizadas.
Políticas da organização de ligação
As políticas de organização de ligações oferecem um controlo centralizado das definições de IP público para o Cloud SQL, de modo a reduzir a superfície de ataque de segurança das instâncias do Cloud SQL a partir da Internet. Um administrador de políticas da organização pode usar uma política de ligação para restringir as configurações de IP público do Cloud SQL ao nível do projeto, da pasta ou da organização.
Restrições de políticas da organização de ligação
Para a política da organização de ligações, existem dois tipos de restrições predefinidas que aplicam o acesso a instâncias do Cloud SQL. Também existem políticas de organização personalizadas que podem ser usadas para aplicar políticas de organização de ligações. Para mais informações, consulte os exemplos de ipConfiguration em exemplos de restrições personalizadas.
| Restrição | Descrição | Comportamento predefinido |
|---|---|---|
| Restrinja o acesso a IPs públicos em instâncias do Cloud SQL | Esta restrição booleana restringe a configuração do IP público
em instâncias do Cloud SQL onde esta restrição está definida como
True. Esta restrição não é retroativa. As instâncias do Cloud SQL com acesso a IP público existente continuam a funcionar mesmo após a aplicação desta restrição.
Por predefinição, o acesso de IP público às instâncias do Cloud SQL é permitido. constraints/sql.restrictPublicIp
|
Permitido |
| Restrinja as redes autorizadas em instâncias do Cloud SQL | Quando definida como True, esta restrição booleana restringe a adição de redes autorizadas para acesso à base de dados sem proxy a instâncias do Cloud SQL. Esta restrição não é retroativa.
As instâncias do Cloud SQL com redes autorizadas existentes continuam a funcionar
mesmo depois de esta restrição ser aplicada. Por predefinição, pode adicionar redes autorizadas a instâncias do Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
Permitido |
Restrições para políticas de organização de ligações
Quando define a política da organização para cada projeto, tem de determinar se alguma das seguintes opções se aplica ao seu projeto:
- Conflitos de IP público de réplicas de leitura
- Incompatibilidade ao usar o comando gcloud CLI sql connect
- Trusted Cloud by S3NS acesso a serviços alojados
- Endereços IP privados não RFC 1918
Conflitos de endereços IP públicos de réplicas de leitura
As réplicas de leitura do Cloud SQL estabelecem ligação à instância principal através da ligação à base de dados sem proxy. Use a definição Redes autorizadas da instância principal para configurar explícita ou implicitamente os endereços IP públicos da réplica de leitura.
Se as instâncias primária e de réplica estiverem na mesma região e tiverem o IP privado ativado, não existe nenhum conflito com as restrições da política de organização de ligações.
Incompatibilidade com a utilização do gcloud sql connect
O comando gcloud sql connect usa um endereço IP público para se ligar diretamente a instâncias do Cloud SQL. Por conseguinte, é incompatível com a restrição sql.restrictPublicIp. Geralmente, isto é um problema para instâncias que usam IP privado.
Além disso, o comando gcloud sql connect não usa o proxy, o que o torna incompatível com a restrição sql.restrictAuthorizedNetworks.
Em alternativa, use a versão beta do comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Esta versão usa o proxy Auth do Cloud SQL. Consulte
gcloud beta sql connect para ver
informações de referência.
Na primeira vez que executar este comando, é-lhe pedido que instale o componente gcloud CLI proxy Auth do Cloud SQL. Para isso, tem de ter autorização de escrita no diretório de instalação do SDK da CLI gcloud na sua máquina cliente.
Trusted Cloud by S3NS acesso aos serviços alojados
Se a sua aplicação exigir acesso a instâncias do Cloud SQL a partir de outros
Trusted Cloud by S3NS serviços alojados, como o App Engine, a aplicação tem de usar endereços IP
públicos. Não aplique a restrição sql.restrictPublicIp
no projeto. No entanto, pode aplicar
sql.restrictAuthorizedNetworks, uma vez que as ligações do
App Engine passam pela ligação segura (com proxy).
Endereços IP privados não RFC 1918
As ligações a uma instância do Cloud SQL através de um endereço IP privado são autorizadas automaticamente para intervalos de endereços RFC 1918. Isto permite que todos os clientes privados acedam à base de dados sem passar pelo proxy. Tem de configurar intervalos de endereços não RFC 1918 como redes autorizadas.
Para usar intervalos de IP privados não RFC 1918 que não estejam configurados nas redes autorizadas, pode realizar uma ou ambas as seguintes ações:
- Não aplique
sql.restrictAuthorizedNetworks. Se as redes autorizadas também aplicaremsql.restrictPublicIp, não pode configurá-las na consola. Em alternativa, use a API Cloud SQL ou a CLI gcloud. - Use ligações com proxy para instâncias de IP privado.
Políticas da organização de chaves de encriptação geridas pelo cliente (CMEK)
O Cloud SQL suporta duas restrições da política da organização que ajudam a garantir a proteção CMEK numa organização: constraints/gcp.restrictNonCmekServices e constraints/gcp.restrictCmekCryptoKeyProjects.
A restrição constraints/gcp.restrictNonCmekServices requer a proteção CMEK para o sqladmin.googleapis.com. Quando adiciona esta restrição e adiciona o sqladmin.googleapis.com à lista de serviços da política Deny, o Cloud SQL recusa-se a criar novas instâncias, a menos que estejam ativadas com CMEK.
A restrição constraints/gcp.restrictCmekCryptoKeyProjects limita as
chaves criptográficas do Cloud KMS a usar para a proteção CMEK em
instâncias do Cloud SQL para PostgreSQL. Com esta restrição, quando o Cloud SQL cria uma nova instância com CMEK, a CryptoKey tem de vir de um projeto, uma pasta ou uma organização permitidos.
Estas restrições só são aplicadas a instâncias do Cloud SQL para PostgreSQL criadas recentemente.
Para mais informações gerais, consulte as políticas organizacionais de CMEK. Para obter informações sobre as restrições da política da organização de CMEK, consulte o artigo Restrições da política da organização.
Políticas da organização personalizadas
Para um controlo detalhado e personalizável das definições, pode criar restrições personalizadas e usar essas restrições personalizadas numa política organizacional personalizada. Pode usar políticas da organização personalizadas para melhorar a segurança, a conformidade e a administração.
Para saber como criar políticas de organização personalizadas, consulte o artigo Adicione políticas de organização personalizadas. Também pode ver uma lista de campos suportados para restrições personalizadas.
Regras de aplicação da política da organização
O Cloud SQL aplica a política da organização durante as seguintes operações:
- Criação da instância
- Criação de réplicas
- Reinício da instância
- Migração de instâncias
- Clone de instância
Tal como todas as restrições de políticas da organização, as alterações às políticas não se aplicam retroativamente às instâncias existentes.
- Uma nova política não tem efeito nas instâncias existentes.
- Uma configuração de instância existente permanece válida, a menos que um utilizador altere a configuração de instância de um estado de conformidade para um estado de não conformidade através da consola, da CLI gcloud ou do RPC.
- Uma atualização de manutenção agendada não provoca a aplicação de uma política, porque a manutenção não altera a configuração das instâncias.
O que se segue?
- Configurar políticas da organização.
- Saiba como o IP privado funciona com o Cloud SQL.
- Saiba como configurar o IP privado para o Cloud SQL.
- Saiba mais sobre o serviço de políticas da organização.
- Saiba mais acerca das restrições da política da organização.