Utilizzare le policy dell'organizzazione predefinite

Questa pagina descrive come aggiungere policy dell'organizzazione predefinite ai cluster e ai backup di AlloyDB per PostgreSQL, che consentono di applicare limitazioni ad AlloyDB a livello di progetto, cartella o organizzazione.

Policy dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)

Puoi utilizzare la policy dell'organizzazione per le chiavi CMEK per controllare le impostazioni CMEK dei cluster e dei backup di AlloyDB. Questa policy consente di controllare le chiavi Cloud KMS utilizzate per proteggere i dati.

AlloyDB supporta due vincoli delle policy dell'organizzazione che contribuiscono a garantire la protezione CMEK in un'organizzazione:

  • constraints/gcp.restrictNonCmekServices: richiede la protezione CMEK per alloydb.googleapis.com. Quando aggiungi questo vincolo e alloydb.googleapis.com all'elenco dei servizi della policy Deny, AlloyDB si rifiuta di creare un nuovo cluster o un backup a meno che non siano abilitati con CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita le CryptoKey Cloud KMS che puoi utilizzare per la protezione CMEK nei cluster e nei backup di AlloyDB. Con questo vincolo, quando AlloyDB crea un nuovo cluster o un backup con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.

Questi vincoli vengono applicati solo ai cluster e ai backup di AlloyDB creati di recente.

Per ulteriori informazioni di riepilogo, consulta Policy dell'organizzazione per le chiavi CMEK. Per informazioni sui vincoli delle policy dell'organizzazione per le chiavi CMEK, consulta Vincoli delle policy dell'organizzazione.

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Installa Google Cloud CLI.

  5. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  6. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Installa Google Cloud CLI.

  10. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  11. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  12. Aggiungi il ruolo Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo utente o al tuo account di servizio dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

Aggiungi la policy dell'organizzazione per le chiavi CMEK

Per aggiungere una policy dell'organizzazione per le chiavi CMEK:

  1. Vai alla pagina Policy dell'organizzazione.

    Vai alla pagina Policy dell'organizzazione

  2. Fai clic sul menu a discesa nella barra dei menu della Google Cloud console e seleziona il progetto, la cartella, o l'organizzazione che richiede la policy dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

  3. Per impostare constraints/gcp.restrictNonCmekServices:

    1. Filtra il vincolo utilizzando ID: constraints/gcp.restrictNonCmekServices o Name: Restrict which services may create resources without CMEK.
    2. Fai clic sul Nome del vincolo.
    3. Fai clic su Modifica.
    4. Fai clic su Personalizza.
    5. Fai clic su Aggiungi regola.
    6. In Valori policy, fai clic su Personalizzato.
    7. In Tipi di policy, seleziona Rifiuta.
    8. In Valori personalizzati, inserisci alloydb.googleapis.com. In questo modo, CMEK viene applicata durante la creazione di cluster e backup di AlloyDB.

  4. Per impostare constraints/gcp.restrictCmekCryptoKeyProjects:

    1. Filtra il vincolo ID: constraints/gcp.restrictCmekCryptoKeyProjects o Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
    2. Fai clic sul Nome del vincolo.
    3. Fai clic su Modifica.
    4. Fai clic su Personalizza.
    5. Fai clic su Aggiungi regola.
    6. In Valori policy, fai clic su Personalizzato.
    7. In Tipi di policy, seleziona Consenti.

    8. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, o projects/PROJECT_ID.

      In questo modo, i cluster e i backup di AlloyDB utilizzano le chiavi Cloud KMS solo dal progetto, dalla cartella o dall'organizzazione consentiti.

  5. Fai clic su Fine e poi su Salva.

Passaggi successivi