使用預先定義的機構政策

本頁說明如何為 AlloyDB for PostgreSQL 叢集和備份檔新增預先定義的組織政策,以便在專案、資料夾或組織層級限制 AlloyDB。

客戶自行管理的加密金鑰 (CMEK) 機構政策

您可以使用 CMEK 機構政策,控管 AlloyDB 叢集和備份的 CMEK 設定。這項政策可讓您控管用於保護資料的 Cloud KMS 金鑰

AlloyDB 支援兩項組織政策限制,可協助確保整個機構採用 CMEK 保護措施:

  • constraints/gcp.restrictNonCmekServices:要求為 alloydb.googleapis.com 啟用 CMEK 保護機制。新增這項限制並將 alloydb.googleapis.com 新增至服務的 Deny 政策清單後,AlloyDB 會拒絕建立新叢集或備份,除非這些項目已啟用 CMEK。
  • constraints/gcp.restrictCmekCryptoKeyProjects:限制您可在 AlloyDB 叢集和備份中,用於 CMEK 保護的 Cloud KMS CryptoKey。有了這項限制,當 AlloyDB 建立啟用 CMEK 的新叢集或備份時,CryptoKey 必須來自允許的專案、資料夾或機構。

這些限制只會套用至新建立的 AlloyDB 叢集和備份。

如需更多總覽資訊,請參閱「CMEK 組織政策」。如要瞭解 CMEK 組織政策限制,請參閱「組織政策限制」。

事前準備

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. 若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI

  6. 執行下列指令,初始化 gcloud CLI:

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. 若您採用的是外部識別資訊提供者 (IdP),請先使用聯合身分登入 gcloud CLI

  11. 執行下列指令,初始化 gcloud CLI:

    gcloud init
  12. 在「IAM 與管理」頁面中,將「機構政策管理員」角色 (roles/orgpolicy.policyAdmin) 新增至使用者或服務帳戶。

    前往「IAM 帳戶」頁面

    13. 新增 CMEK 組織政策

    如要新增 CMEK 組織政策,請按照下列步驟操作:

    1. 前往「Organization policies」(機構政策) 頁面。

      前往「Organization policies」(組織政策) 頁面

    2. 按一下 Google Cloud 控制台選單列中的下拉式選單,然後選取需要機構政策的專案、資料夾或機構。「Organization policies」(機構政策) 頁面會顯示可用的機構政策限制清單。

    3. 如要設定 constraints/gcp.restrictNonCmekServices,請按照下列步驟操作:

      1. 使用 ID: constraints/gcp.restrictNonCmekServicesName: Restrict which services may create resources without CMEK 篩選限制。
      2. 按一下限制的「名稱」
      3. 按一下 [編輯]
      4. 點按「自訂」
      5. 按一下「Add rule」(新增規則)
      6. 在「政策值」下方,按一下「自訂」
      7. 在「政策類型」下方,選取「拒絕」
      8. 在「Custom values」(自訂值)下方輸入 alloydb.googleapis.com。這樣可確保在建立 AlloyDB 叢集和備份時,系統會強制執行 CMEK。

    4. 如要設定 constraints/gcp.restrictCmekCryptoKeyProjects,請按照下列步驟操作:

      1. 篩選限制 IDconstraints/gcp.restrictCmekCryptoKeyProjectsNameRestrict which projects may supply KMS CryptoKeys for CMEK
      2. 按一下限制的「名稱」
      3. 按一下 [編輯]
      4. 點按「自訂」
      5. 按一下「Add rule」(新增規則)
      6. 在「政策值」下方,按一下「自訂」
      7. 在「政策類型」下方,選取「允許」

      8. 在「自訂值」下方,以以下格式輸入資源: under:organizations/ORGANIZATION_IDunder:folders/FOLDER_IDprojects/PROJECT_ID

        確保 AlloyDB 叢集和備份只使用允許專案、資料夾或機構中的 Cloud KMS 金鑰。

    5. 依序按一下 [完成] 和 [儲存]

    後續步驟