Vordefinierte Organisationsrichtlinien verwenden

Auf dieser Seite wird beschrieben, wie Sie AlloyDB for PostgreSQL-Clustern und ‑Sicherungen vordefinierte Organisationsrichtlinien hinzufügen, um AlloyDB auf Projekt-, Ordner- oder Organisationsebene einzuschränken.

Organisationsrichtlinie für kundenverwaltete Verschlüsselungsschlüssel (CMEK)

Mit der CMEK-Organisationsrichtlinie können Sie die CMEK-Einstellungen Ihrer AlloyDB-Cluster und ‑Sicherungen steuern. Mit dieser Richtlinie können Sie die Cloud KMS-Schlüssel steuern, die Sie zum Schutz Ihrer Daten verwenden.

AlloyDB unterstützt zwei Einschränkungen für Organisationsrichtlinien, die den CMEK-Schutz in einer Organisation gewährleisten:

  • constraints/gcp.restrictNonCmekServices: Erfordert CMEK-Schutz für alloydb.googleapis.com. Wenn Sie diese Einschränkung hinzufügen und alloydb.googleapis.com der Richtlinienliste Deny der Dienste hinzufügen, lehnt AlloyDB die Erstellung eines neuen Clusters oder einer neuen Sicherung ab, es sei denn, sie sind mit CMEK aktiviert.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Beschränkt die Cloud KMS-CryptoKeys, die Sie für den CMEK-Schutz in AlloyDB-Clustern und ‑Sicherungen verwenden können. Wenn diese Einschränkung in AlloyDB einen neuen Cluster oder eine neue Sicherung mit CMEK erstellt, muss CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation stammen.

Diese Einschränkungen werden nur für neu erstellte AlloyDB-Cluster und ‑Sicherungen durchgesetzt.

Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien. Informationen zu CMEK-Organisationsrichtlinieneinschränkungen finden Sie unter Organisationsrichtlinieneinschränkungen.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto bei Google Cloudhaben, erstellen Sie ein Konto, um die Leistung unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Installieren Sie die Google Cloud CLI.

  5. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  6. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Installieren Sie die Google Cloud CLI.

  10. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  11. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
  12. Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) Ihrem Nutzer- oder Dienstkonto hinzu.

    Zur Seite "IAM-Konten"

CMEK-Organisationsrichtlinie hinzufügen

So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:

  1. Rufen Sie die Seite Organisationsrichtlinien auf.

    Weiter zur Seite "Organisationsrichtlinien"

  2. Klicken Sie in der Google Cloud Menüleiste derConsole auf das Drop-down-Menü und wählen Sie das Projekt, den Ordner, oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

  3. So legen Sie constraints/gcp.restrictNonCmekServices fest:

    1. Filtern Sie nach der Einschränkung mit der ID: constraints/gcp.restrictNonCmekServices oder dem Name: Restrict which services may create resources without CMEK.
    2. Klicken Sie auf den Namen der Einschränkung.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Anpassen.
    5. Klicken Sie auf Regel hinzufügen.
    6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
    7. Wählen Sie unter Richtlinientypen die Option Ablehnen aus.
    8. Geben Sie unter Benutzerdefinierte Werte alloydb.googleapis.com ein. Dadurch wird sichergestellt, dass CMEK beim Erstellen von AlloyDB-Clustern und ‑Sicherungen erzwungen wird.

  4. So legen Sie constraints/gcp.restrictCmekCryptoKeyProjects fest:

    1. Filtern Sie nach der Einschränkung ID: constraints/gcp.restrictCmekCryptoKeyProjects oder Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
    2. Klicken Sie auf den Namen der Einschränkung.
    3. Klicken Sie auf Bearbeiten.
    4. Klicken Sie auf Anpassen.
    5. Klicken Sie auf Regel hinzufügen.
    6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
    7. Wählen Sie unter Richtlinientypen die Option Zulassen aus.

    8. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, oder projects/PROJECT_ID.

      Dadurch wird sichergestellt, dass Ihre AlloyDB-Cluster und ‑Sicherungen die Cloud KMS-Schlüssel nur aus dem zulässigen Projekt, Ordner oder der zulässigen Organisation verwenden.

  5. Klicken Sie auf Fertig und dann auf Speichern.

Nächste Schritte