Utilizzare le policy dell'organizzazione predefinite

Questa pagina descrive come aggiungere policy dell'organizzazione predefinite a cluster e backup di AlloyDB per PostgreSQL, il che ti consente di imporre limitazioni ad AlloyDB a livello di progetto, cartella o organizzazione.

Criterio dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)

Puoi utilizzare il criterio dell'organizzazione CMEK per controllare le impostazioni CMEK dei tuoi cluster e backup AlloyDB. Questo criterio ti consente di controllare le chiavi Cloud KMS che utilizzi per proteggere i tuoi dati.

AlloyDB supporta due vincoli delle policy dell'organizzazione che contribuiscono a garantire la protezione CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices: richiede la protezione CMEK per alloydb.googleapis.com. Quando aggiungi questo vincolo e alloydb.googleapis.com all'elenco dei servizi della policy Deny, AlloyDB rifiuta di creare un nuovo cluster o un backup a meno che non siano abilitati con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita le CryptoKey Cloud KMS che puoi utilizzare per la protezione CMEK nei cluster e nei backup AlloyDB. Con questo vincolo, quando AlloyDB crea un nuovo cluster o un backup con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.

Questi vincoli vengono applicati solo ai cluster e ai backup AlloyDB appena creati.

Per ulteriori informazioni generali, consulta Policy dell'organizzazione per le chiavi CMEK. Per informazioni sui vincoli delle policy dell'organizzazione CMEK, consulta Vincoli delle policy dell'organizzazione.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  6. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  11. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  12. Aggiungi il ruolo Amministratore criteri dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo utente o account di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

    13. Aggiungi la policy dell'organizzazione per le chiavi CMEK

    Per aggiungere una policy dell'organizzazione CMEK:

    1. Vai alla pagina Policy dell'organizzazione.

      Vai alla pagina Policy dell'organizzazione

    2. Fai clic sul menu a discesa nella barra dei menu della console Google Cloud , poi seleziona il progetto, la cartella o l'organizzazione che richiede la policy dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

    3. Per impostare constraints/gcp.restrictNonCmekServices:

      1. Filtra il vincolo utilizzando ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
      2. Fai clic sul nome del vincolo.
      3. Fai clic su Modifica.
      4. Fai clic su Personalizza.
      5. Fai clic su Aggiungi regola.
      6. In Valori policy, fai clic su Personalizzato.
      7. In Tipi di policy, seleziona Rifiuta.
      8. In Valori personalizzati, inserisci alloydb.googleapis.com. In questo modo, CMEK viene applicata durante la creazione di cluster AlloyDB e backup.

    4. Per impostare constraints/gcp.restrictCmekCryptoKeyProjects:

      1. Filtra per il vincolo ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Fai clic sul nome del vincolo.
      3. Fai clic su Modifica.
      4. Fai clic su Personalizza.
      5. Fai clic su Aggiungi regola.
      6. In Valori policy, fai clic su Personalizzato.
      7. In Tipi di policy, seleziona Consenti.

      8. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID o projects/PROJECT_ID.

        In questo modo, i cluster e i backup AlloyDB utilizzano le chiavi Cloud KMS solo dal progetto, dalla cartella o dall'organizzazione consentiti.

    5. Fai clic su Fine e poi su Salva.

    Passaggi successivi