Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Adicione políticas de organização predefinidas

MySQL | PostgreSQL | SQL Server

Esta página descreve como adicionar políticas da organização em instâncias do Cloud SQL para colocar restrições no Cloud SQL ao nível do projeto, da pasta ou da organização. Para uma vista geral, consulte o artigo Políticas de organização do Cloud SQL.

Antes de começar

In the Trusted Cloud console, on the project selector page, select or create a Trusted Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Trusted Cloud project.
Install the gcloud CLI.
Configure a CLI gcloud para usar a sua identidade federada.

Para mais informações, consulte o artigo Inicie sessão na CLI gcloud com a sua identidade federada.
Para inicializar a CLI gcloud, execute o seguinte comando:
```
gcloud init
```
Adicione a função administrador da política da organização (roles/orgpolicy.policyAdmin) ao seu utilizador ou conta de serviço na página IAM e administração.
Aceda à página de contas do IAM
Consulte as restrições antes de realizar este procedimento.

Adicione a política organizacional de ligação

Para uma vista geral, consulte o artigo Políticas de organização de ligações.

Para adicionar uma política organizacional de associação:

Aceda à página Políticas da organização.

Aceda à página Políticas da organização
Clique no menu pendente de projetos no separador superior e, de seguida, selecione o projeto, a pasta ou a organização que requer a política de organização. A página Políticas da organização apresenta uma lista de restrições das políticas da organização disponíveis.
Filtre pela restrição name ou display_name.
- Para desativar o acesso à Internet ou a partir desta:
```
name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"
```
- Para desativar o acesso a partir da Internet quando a autenticação IAM está em falta (isto não afeta o acesso através do IP privado):
```
name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"
```
Selecione o Nome da política na lista.
Clique em Edit.
Clique em Personalizar.
Clique em Adicionar regra.
Em Aplicação, clique em Ativada.
Clique em Guardar.

Adicione a política da organização CMEK

Para uma vista geral, consulte o artigo Políticas de organização de chaves de encriptação geridas pelo cliente.

Para adicionar uma política da organização de CMEK:

Aceda à página Políticas da organização.

Aceda à página Políticas da organização
Clique no menu pendente de projetos no separador superior e, de seguida, selecione o projeto, a pasta ou a organização que requer a política de organização. A página Políticas da organização apresenta uma lista de restrições das políticas da organização disponíveis.
Filtre pela restrição name ou display_name.
- Para colocar nomes de serviços numa lista de RECUSA e garantir que a CMEK é usada nos recursos desse serviço:
```
name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"
```
  Tem de adicionar sqladmin.googleapis.com à lista de serviços restritos com a opção Recusar.
- Para colocar IDs de projetos numa lista de PERMITIDOS para garantir que apenas são usadas chaves de uma instância do Cloud KMS nesse projeto para CMEK.
```
name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
```
Selecione o Nome da política na lista.
Clique em Edit.
Clique em Personalizar.
Clique em Adicionar regra.
Em Valores de políticas, clique em Personalizado.
Para constraints/gcp.restrictNonCmekServices: a. Em Tipos de políticas, selecione Recusar. b. Em Valores personalizados, introduza sqladmin.googleapis.com.

Para constraints/gcp.restrictCmekCryptoKeyProjects: a. Em Tipos de políticas, selecione Permitir. b. Em Valores personalizados, introduza o recurso no seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.
Clique em Concluído.
Clique em Guardar.

O que se segue?

Saiba mais acerca das políticas de organização.
Saiba como o IP privado funciona com o Cloud SQL.
Saiba como configurar o IP privado para o Cloud SQL.
Saiba mais sobre o serviço de políticas da organização.
Saiba mais acerca das restrições da política da organização.