הוספת מדיניות ארגונית שהוגדרה מראש

בדף הזה מוסבר איך להוסיף מדיניות ארגונית למופעי Cloud SQL, כדי להגביל את Cloud SQL ברמת הפרויקט, התיקייה או הארגון. סקירה כללית מופיעה במאמר מדיניות הארגון ב-Cloud SQL.

לפני שמתחילים

  1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Cloud de Confiance project.

  3. מתקינים את ה-CLI של gcloud.

  4. הגדירו שה-CLI של gcloud ישתמש בזהות המאוחדת שלכם.

    איך נכנסים ל-CLI של gcloud באמצעות הזהות המאוחדת?

  5. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init
  6. בדף IAM & Admin, מוסיפים את התפקיד Organization Policy Administrator ‏(roles/orgpolicy.policyAdmin) לחשבון המשתמש או לחשבון השירות.

    כניסה לדף IAM accounts

  7. לפני שמבצעים את התהליך הזה, כדאי לעיין בהגבלות.

הוספת מדיניות הארגון לקישור

סקירה כללית זמינה במאמר מדיניות ארגונית בנושא חיבורים.

כדי להוסיף מדיניות ארגונית לחיבור:

  1. עוברים לדף מדיניות הארגון.

    מעבר לדף מדיניות הארגון

  2. לוחצים על התפריט הנפתח של הפרויקטים בכרטיסייה העליונה, ואז בוחרים את הפרויקט, התיקייה או הארגון שנדרשת להם מדיניות הארגון. בדף Organization policies מוצגת רשימה של אילוצים שזמינים במדיניות הארגון.

  3. מסננים לפי האילוץ name או display_name.

    • כדי להשבית את הגישה לאינטרנט או ממנו:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • כדי להשבית את הגישה מהאינטרנט כשחסר אימות IAM (הפעולה הזו לא משפיעה על הגישה באמצעות כתובת IP פרטית):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. בוחרים את השם של המדיניות מהרשימה.

  5. לוחצים על Edit.

  6. לוחצים על התאמה אישית.

  7. לוחצים על הוספת כלל.

  8. בקטע Enforcement (אכיפה), לוחצים על On (הפעלה).

  9. לוחצים על Save.

הוספת מדיניות הארגון ל-CMEK

סקירה כללית זמינה במאמר בנושא מדיניות ארגונית בנושא מפתחות הצפנה בניהול הלקוח.

כדי להוסיף מדיניות ארגון של CMEK:

  1. עוברים לדף מדיניות הארגון.

    מעבר לדף מדיניות הארגון

  2. לוחצים על התפריט הנפתח של הפרויקטים בכרטיסייה העליונה, ואז בוחרים את הפרויקט, התיקייה או הארגון שנדרשת להם מדיניות הארגון. בדף Organization policies מוצגת רשימה של אילוצים שזמינים במדיניות הארגון.

  3. מסננים לפי האילוץ name או display_name.

    • כדי להוסיף שמות של שירותים לרשימת דחייה ולוודא ש-CMEK ישמש במשאבים של השירות הזה:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      צריך להוסיף את sqladmin.googleapis.com לרשימת השירותים המוגבלים עם הרשאה מסוג Deny.

    • כדי להוסיף מזהי פרויקטים לרשימת ההיתרים, כדי להבטיח שרק מפתחות ממופע של Cloud KMS בתוך הפרויקט הזה ישמשו ל-CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. בוחרים את השם של המדיניות מהרשימה.

  5. לוחצים על Edit.

  6. לוחצים על התאמה אישית.

  7. לוחצים על הוספת כלל.

  8. בקטע ערכי מדיניות, לוחצים על בהתאמה אישית.

  9. עבור constraints/gcp.restrictNonCmekServices: א. בקטע סוגי מדיניות, בוחרים באפשרות דחייה. ב. בקטע ערכים מותאמים אישית, מזינים sqladmin.googleapis.com.

    עבור constraints/gcp.restrictCmekCryptoKeyProjects: א. בקטע סוגי מדיניות, בוחרים באפשרות אישור. ב. בקטע ערכים בהתאמה אישית, מזינים את המשאב בפורמט הבא: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID או projects/PROJECT_ID.

  10. לוחצים על סיום.

  11. לוחצים על Save.

המאמרים הבאים