Vordefinierte Organisationsrichtlinien hinzufügen

Auf dieser Seite wird gezeigt, wie Sie Cloud SQL-Instanzen Organisationsrichtlinien hinzufügen, um Cloud SQL auf Projekt-, Ordner- oder Organisationsebene einzuschränken. Eine Übersicht finden Sie unter Cloud SQL-Organisationsrichtlinien.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the gcloud CLI.

  5. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  6. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the gcloud CLI.

  10. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  11. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
  12. Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) Ihrem Nutzer- oder Dienstkonto hinzu.

    Zur Seite "IAM-Konten"

  13. Beachten Sie die Einschränkungen, für diesen Vorgang.

    14. Organisationsrichtlinie für Verbindung hinzufügen

    Eine Übersicht finden Sie unter Organisationsrichtlinien für die Verbindung.

    So fügen Sie eine Organisationsrichtlinie für Verbindungen hinzu:

    1. Rufen Sie die Seite Organisationsrichtlinien auf.

      Weiter zur Seite "Organisationsrichtlinien"

    2. Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

    3. Filtern Sie nach der Einschränkung name oder display_name.

      • So deaktivieren Sie den Zugriff auf das oder aus dem Internet:

        name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"

      • So deaktivieren Sie den Zugriff aus dem Internet, wenn die IAM-Authentifizierung fehlt (dies betrifft nicht den Zugriff über eine private IP-Adresse):

        name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"

    4. Wählen Sie aus der Liste die Richtlinie Name aus.

    5. Klicken Sie auf Bearbeiten.

    6. Klicken Sie auf Anpassen.

    7. Klicken Sie auf Regel hinzufügen.

    8. Klicken Sie unter Erzwingung auf An.

    9. Klicken Sie auf Speichern.

    CMEK-Organisationsrichtlinie hinzufügen

    Eine Übersicht finden Sie unter Organisationsrichtlinien für vom Kunden verwaltete Verschlüsselungsschlüssel.

    So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:

    1. Rufen Sie die Seite Organisationsrichtlinien auf.

      Weiter zur Seite "Organisationsrichtlinien"

    2. Klicken Sie im oberen Tab auf das Drop-down-Menü für Projekte und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

    3. Filtern Sie nach der Einschränkung name oder display_name.

      • So fügen Sie Dienstnamen in eine DENY-Liste ein, um sicherzustellen, dass CMEK in den Ressourcen für diesen Dienst verwendet wird:

        name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"

        Sie müssen sqladmin.googleapis.com zur Liste der eingeschränkten Dienste mit "Ablehnen" hinzufügen.

      • Sie fügen Projekt-IDs in eine ALLOW-Liste ein, damit nur Schlüssel aus einer Instanz von Cloud KMS in diesem Projekt für CMEK verwendet werden.

        name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

    4. Wählen Sie aus der Liste die Richtlinie Name aus.

    5. Klicken Sie auf Bearbeiten.

    6. Klicken Sie auf Anpassen.

    7. Klicken Sie auf Regel hinzufügen.

    8. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.

    9. Für constraints/gcp.restrictNonCmekServices: a. Wählen Sie unter Richtlinientypen die Option Ablehnen aus. b. Geben Sie unter Benutzerdefinierte Werte sqladmin.googleapis.com ein.

      Für constraints/gcp.restrictCmekCryptoKeyProjects: a. Wählen Sie unter Richtlinientypen die Option Zulassen aus. b. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.

    10. Klicken Sie auf Fertig.

    11. Klicken Sie auf Speichern.

    Nächste Schritte