בדף הזה מוסבר איך ליצור, להגדיר ולנהל אילוצים בהתאמה אישית במופעים של Cloud SQL. סקירה כללית של מדיניות ארגונית מותאמת אישית זמינה במאמר מדיניות ארגונית מותאמת אישית.
משאבים נתמכים ב-Cloud SQL
בדף הזה מוסבר איך להשתמש באילוצים מותאמים אישית של Organization Policy Service כדי להגביל פעולות ספציפיות במשאבים הבאים של Google Cloud :
sqladmin.googleapis.com/Instancesqladmin.googleapis.com/BackupRun
מידע נוסף על מדיניות הארגון זמין במאמר בנושא מדיניות ארגונית בהתאמה אישית.
מידע על מדיניות הארגון ואילוצים
שירות מדיניות הארגון של Google Cloud מאפשר לכם לקבל שליטה מרוכזת ופרוגרמטית על המשאבים של הארגון. בתור אדמינים של מדיניות הארגון, אתם יכולים להגדיר מדיניות ארגונית, שהיא קבוצה של הגבלות שנקראות אילוצים שחלות על משאבים ב-Google Cloud ועל משאבים שנגזרים מהם בGoogle Cloud היררכיית המשאבים. אפשר לאכוף את מדיניות הארגון ברמת הארגון, התיקייה או הפרויקט.
במסגרת מדיניות הארגון מוצעים אילוצים מנוהלים מובנים עבור שירותים שונים של Google Cloud . עם זאת, אם אתם רוצים שליטה מדויקת יותר בשדות הספציפיים שמוגבלים במדיניות הארגון, אתם יכולים גם ליצור אילוצים בהתאמה אישית ולהשתמש בהם במדיניות הארגון.
העברה בירושה של מדיניות
כברירת מחדל, מדיניות הארגון עוברת בירושה לצאצאים של המשאבים שבהם אתם אוכפים את המדיניות. לדוגמה, אם אוכפים מדיניות בתיקייה, Google Cloud המדיניות נאכפת בכל הפרויקטים בתיקייה. מידע נוסף על ההתנהגות הזו ועל שינוי שלה זמין במאמר בנושא כללי הערכה היררכיים.
לפני שמתחילים
- נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
-
כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
-
כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה:
gcloud init - חשוב לוודא שאתם יודעים מהו מספר הארגון שלכם.
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לניהול של כללי מדיניות ארגוניים בהתאמה אישית, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM 'אדמין של כללי מדיניות ארגוניים' (`roles/orgpolicy.policyAdmin`) במשאב הארגון. להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
משאבים נתמכים ב-Cloud SQL ל-PostgreSQL
בטבלה הבאה מפורטים המשאבים של Cloud SQL ל-PostgreSQL שאפשר להפנות אליהם באילוצים בהתאמה אישית.| משאב | שדה |
|---|---|
| sqladmin.googleapis.com/BackupRun |
resource.description
|
resource.location
| |
| sqladmin.googleapis.com/Instance |
resource.databaseVersion
|
resource.diskEncryptionConfiguration.kmsKeyName
| |
resource.diskEncryptionStatus.kmsKeyVersionName
| |
resource.failoverReplica.name
| |
resource.masterInstanceName
| |
resource.name
| |
resource.nodeCount
| |
resource.project
| |
resource.region
| |
resource.replicaConfiguration.cascadableReplica
| |
resource.replicaConfiguration.failoverTarget
| |
resource.settings.activationPolicy
| |
resource.settings.activeDirectoryConfig.domain
| |
resource.settings.advancedMachineFeatures.threadsPerCore
| |
resource.settings.availabilityType
| |
resource.settings.backupConfiguration.backupRetentionSettings.retainedBackups
| |
resource.settings.backupConfiguration.backupRetentionSettings.retentionUnit
| |
resource.settings.backupConfiguration.binaryLogEnabled
| |
resource.settings.backupConfiguration.enabled
| |
resource.settings.backupConfiguration.location
| |
resource.settings.backupConfiguration.pointInTimeRecoveryEnabled
| |
resource.settings.backupConfiguration.startTime
| |
resource.settings.backupConfiguration.transactionLogRetentionDays
| |
resource.settings.collation
| |
resource.settings.connectionPoolConfig.connectionPoolingEnabled
| |
resource.settings.connectionPoolConfig.flags.name
| |
resource.settings.connectionPoolConfig.flags.value
| |
resource.settings.connectorEnforcement
| |
resource.settings.databaseFlags.name
| |
resource.settings.databaseFlags.value
| |
resource.settings.dataCacheConfig.dataCacheEnabled
| |
resource.settings.dataDiskProvisionedIops
| |
resource.settings.dataDiskProvisionedThroughput
| |
resource.settings.dataDiskSizeGb
| |
resource.settings.dataDiskType
| |
resource.settings.deletionProtectionEnabled
| |
resource.settings.denyMaintenancePeriods.endDate
| |
resource.settings.denyMaintenancePeriods.startDate
| |
resource.settings.denyMaintenancePeriods.time
| |
resource.settings.edition
| |
resource.settings.enableDataplexIntegration
| |
resource.settings.enableGoogleMlIntegration
| |
resource.settings.insightsConfig.queryInsightsEnabled
| |
resource.settings.insightsConfig.queryPlansPerMinute
| |
resource.settings.insightsConfig.queryStringLength
| |
resource.settings.insightsConfig.recordApplicationTags
| |
resource.settings.insightsConfig.recordClientAddress
| |
resource.settings.ipConfiguration.authorizedNetworks.name
| |
resource.settings.ipConfiguration.authorizedNetworks.value
| |
resource.settings.ipConfiguration.customSubjectAlternativeNames
| |
resource.settings.ipConfiguration.enablePrivatePathForGoogleCloudServices
| |
resource.settings.ipConfiguration.ipv4Enabled
| |
resource.settings.ipConfiguration.privateNetwork
| |
resource.settings.ipConfiguration.pscConfig.allowedConsumerProjects
| |
resource.settings.ipConfiguration.pscConfig.pscAutoConnections.consumerNetwork
| |
resource.settings.ipConfiguration.pscConfig.pscAutoConnections.consumerProject
| |
resource.settings.ipConfiguration.pscConfig.pscEnabled
| |
resource.settings.ipConfiguration.serverCaMode
| |
resource.settings.ipConfiguration.serverCaPool
| |
resource.settings.ipConfiguration.sslMode
| |
resource.settings.locationPreference.secondaryZone
| |
resource.settings.locationPreference.zone
| |
resource.settings.maintenanceWindow.day
| |
resource.settings.maintenanceWindow.hour
| |
resource.settings.maintenanceWindow.updateTrack
| |
resource.settings.passwordValidationPolicy.complexity
| |
resource.settings.passwordValidationPolicy.disallowUsernameSubstring
| |
resource.settings.passwordValidationPolicy.enablePasswordPolicy
| |
resource.settings.passwordValidationPolicy.minLength
| |
resource.settings.passwordValidationPolicy.passwordChangeInterval
| |
resource.settings.passwordValidationPolicy.reuseInterval
| |
resource.settings.replicationLagMaxSeconds
| |
resource.settings.retainBackupsOnDelete
| |
resource.settings.sqlServerAuditConfig.bucket
| |
resource.settings.sqlServerAuditConfig.retentionInterval
| |
resource.settings.sqlServerAuditConfig.uploadInterval
| |
resource.settings.storageAutoResize
| |
resource.settings.tier
| |
resource.settings.timeZone
|
הגדרת אילוץ בהתאמה אישית
אילוץ בהתאמה אישית מוגדר בקובץ YAML לפי המשאבים, השיטות, התנאים והפעולות שנתמכים על ידי השירות שבו אתם אוכפים את מדיניות הארגון. התנאים להגבלות המותאמות אישית מוגדרים באמצעות Common Expression Language (CEL). מידע נוסף על יצירת תנאים באילוצים מותאמים אישית באמצעות CEL זמין בקטע על CEL במאמר יצירה וניהול של אילוצים מותאמים אישית.
המסוף
כדי ליצור אילוץ בהתאמה אישית:
- במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
- בכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
- לוחצים על Custom constraint (הגבלה מותאמת אישית).
- בתיבה שם לתצוגה, מזינים שם שאנשים יכולים לקרוא למגבלה. השם הזה משמש בהודעות שגיאה, ואפשר להשתמש בו לצורך זיהוי וניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות לתצוגה, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים.
-
בתיבה Constraint ID (מזהה ההגבלה), מזינים את המזהה שרוצים להגדיר להגבלה החדשה בהתאמה אישית. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות גדולות וקטנות) או מספרים, למשל
custom.region. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.), לדוגמה,organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה. - בתיבה Description, מזינים תיאור של האילוץ שכתוב בצורה שקריאה לאנשים. התיאור הזה משמש כהודעת שגיאה כשמתבצעת הפרה של המדיניות. לכלול פרטים על הסיבה להפרת המדיניות ואיך לפתור אותה. אל תכללו בתיאור פרטים אישיים מזהים (PII) או מידע אישי רגיש, כי הם עלולים להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 2,000 תווים.
-
בתיבה Resource type, בוחרים את השם של משאב REST Google Cloud שמכיל את האובייקט והשדה שרוצים להגביל – לדוגמה,
container.googleapis.com/NodePool. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל. -
בקטע שיטת אכיפה, בוחרים אם לאכוף את ההגבלה על שיטת REST
CREATEאו על שיטותCREATEו-UPDATE. אם אוכפים את האילוץ באמצעות השיטהUPDATEבמשאב שמפר את האילוץ, מדיניות הארגון חוסמת שינויים במשאב הזה, אלא אם השינוי פותר את ההפרה. - כדי להגדיר תנאי, לוחצים על Edit condition.
-
בחלונית Add condition, יוצרים תנאי CEL שמתייחס למשאב שירות נתמך, לדוגמה,
resource.management.autoUpgrade == false. השדה הזה יכול להכיל עד 1,000 תווים. פרטים על השימוש ב-CEL זמינים במאמר בנושא Common Expression Language. מידע נוסף על משאבי השירות שאפשר להשתמש בהם באילוצים בהתאמה אישית זמין במאמר שירותים שתומכים באילוצים בהתאמה אישית. - לוחצים על Save.
- בקטע פעולה, בוחרים אם לאשר או לדחות את השיטה שנבדקה אם התנאי מתקיים.
- לוחצים על יצירת אילוץ.
כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות בקטע שירותים שתומכים באילוצים בהתאמה אישית.
הפעולה deny (דחייה) פירושה שהפעולה ליצירה או לעדכון של המשאב נחסמת אם התנאי מוערך כ-True.
הפעולה allow (אישור) אומרת שהפעולה ליצירה או לעדכון של המשאב מותרת רק אם התנאי מחזיר את הערך true. כל מקרה אחר, מלבד אלה שמפורטים במפורש בתנאי, נחסם.
אחרי שמזינים ערך בכל שדה, מופיעה משמאל הגדרת ה-YAML המקבילה לאילוץ המותאם אישית הזה.
gcloud
- כדי ליצור אילוץ בהתאמה אישית, יוצרים קובץ YAML בפורמט הבא:
-
ORGANIZATION_ID: מזהה הארגון, למשל123456789. -
CONSTRAINT_NAME: השם שרוצים לתת לאילוץ המותאם אישית החדש. אילוץ מותאם אישית יכול להכיל רק אותיות (כולל אותיות רישיות וקטנות) או מספרים, למשל,custom.region. השדה הזה יכול להכיל עד 70 תווים, לא כולל הקידומת (custom.) – לדוגמה,organizations/123456789/customConstraints/custom. אל תכללו פרטים אישיים מזהים (PII) או נתונים רגישים במזהה האילוץ, כי הם עלולים להיחשף בהודעות שגיאה. -
RESOURCE_NAME: השם מוגדר במלואו של המשאב Google Cloudשמכיל את האובייקט והשדה שרוצים להגביל. לדוגמה:sqladmin.googleapis.com/Instance. רוב סוגי המשאבים תומכים בעד 20 אילוצים מותאמים אישית. אם תנסו ליצור עוד אילוצים בהתאמה אישית, הפעולה תיכשל. -
methodTypes: שיטות ה-REST שבהן האילוץ נאכף. הערך יכול להיותCREATEאו גםCREATEוגםUPDATE. אם אוכפים את האילוץ באמצעות השיטהUPDATEעל משאב שמפר את האילוץ, שינויים במשאב הזה נחסמים על ידי מדיניות הארגון, אלא אם השינוי פותר את ההפרה. -
CONDITION: תנאי CEL שנכתב על סמך ייצוג של משאב שירות נתמך. השדה הזה יכול להכיל עד 1,000 תווים. לדוגמה:"resource.region == "us-central1"". -
ACTION: הפעולה שתתבצע אם התנאיconditionיתקיים. הערכים האפשריים הםALLOWו-DENY. -
DISPLAY_NAME: שם קריא לאנשים של האילוץ. השם הזה מופיע בהודעות שגיאה ויכול לשמש לזיהוי ולניפוי באגים. אל תשתמשו בפרטים אישיים מזהים (PII) או במידע אישי רגיש בשמות המוצגים, כי השם הזה עלול להיחשף בהודעות שגיאה. השדה הזה יכול להכיל עד 200 תווים. -
DESCRIPTION: תיאור ידידותי למשתמש של האילוץ שיוצג כהודעת שגיאה אם המדיניות תופר. השדה הזה יכול להכיל עד 2,000 תווים. -
אחרי שיוצרים קובץ YAML לאילוץ חדש בהתאמה אישית, צריך להגדיר אותו כדי שיהיה זמין למדיניות הארגון בארגון. כדי להגדיר אילוץ בהתאמה אישית, משתמשים בפקודה
gcloud org-policies set-custom-constraint: -
כדי לוודא שהאילוץ המותאם אישית קיים, משתמשים בפקודה
gcloud org-policies list-custom-constraints:
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME resourceTypes: RESOURCE_NAME methodTypes: - CREATE
- UPDATE condition: "CONDITION" actionType: ACTION displayName: DISPLAY_NAME description: DESCRIPTION
מחליפים את מה שכתוב בשדות הבאים:
כדי לראות את השיטות הנתמכות לכל שירות, מחפשים את השירות ב שירותים שתומכים באילוצים בהתאמה אישית.
מידע נוסף על המשאבים שאפשר לכתוב תנאים לגביהם זמין במאמר משאבים נתמכים.
הפעולה allow (אישור) אומרת שאם התנאי מקבל את הערך True, הפעולה ליצירה או לעדכון של המשאב מותרת. המשמעות היא שכל מקרה אחר, חוץ מהמקרה שמופיע במפורש בתנאי, ייחסם.
הפעולה deny (דחייה) פירושה שאם התנאי מחזיר את הערך True, הפעולה ליצירה או לעדכון של המשאב נחסמת.
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
מחליפים את CONSTRAINT_PATH בנתיב המלא לקובץ האילוצים המותאמים אישית. לדוגמה, /home/user/customconstraint.yaml.
אחרי שהפעולה הזו תושלם, האילוצים המותאמים אישית יהיו זמינים כמדיניות ארגונית ברשימת Google Cloud מדיניות הארגון.
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
מחליפים את ORGANIZATION_ID במזהה של משאב הארגון.
מידע נוסף זמין במאמר בנושא צפייה במדיניות הארגון.
אכיפה של מדיניות ארגון מותאמת אישית
כדי לאכוף אילוץ, יוצרים מדיניות ארגון שמפנה אליו, ואז מחילים את מדיניות הארגון הזו על משאב Google Cloud .המסוף
- במסוף Google Cloud , נכנסים לדף מדיניות הארגון.
- מכלי לבחירת פרויקטים, בוחרים את הפרויקט שרוצים להגדיר לו את מדיניות הארגון.
- מהרשימה בדף מדיניות הארגון, בוחרים את האילוץ כדי לראות את הדף פרטי המדיניות של האילוץ הזה.
- כדי להגדיר את מדיניות הארגון עבור המשאב הזה, לוחצים על ניהול מדיניות.
- בדף עריכת מדיניות, בוחרים באפשרות במקום המדיניות של המשאב הראשי.
- לוחצים על Add a rule.
- בקטע Enforcement (אכיפה), בוחרים אם מדיניות הארגון הזו נאכפת או לא.
- אופציונלי: כדי להגדיר את מדיניות הארגון כתלויה בתג, לוחצים על הוספת תנאי. הערה: אם מוסיפים כלל מותנה למדיניות ארגון, צריך להוסיף לפחות כלל לא מותנה אחד, אחרת אי אפשר לשמור את המדיניות. מידע נוסף על מדיניות ארגונית עם תגים
- לוחצים על בדיקת שינויים כדי לדמות את ההשפעה של מדיניות הארגון. מידע נוסף זמין במאמר בדיקת שינויים במדיניות הארגון באמצעות סימולטור המדיניות.
- כדי לאכוף את המדיניות של הארגון במצב פרימטר לבדיקות, לוחצים על הגדרת המדיניות להרצת בדיקה. מידע נוסף זמין במאמר בנושא בדיקת מדיניות הארגון.
- אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, לוחצים על הגדרת מדיניות כדי להגדיר את המדיניות הפעילה.
gcloud
- כדי ליצור מדיניות ארגונית עם כללים בוליאניים, יוצרים קובץ YAML של מדיניות שמפנה לאילוץ:
-
PROJECT_ID: הפרויקט שבו רוצים לאכוף את האילוץ. -
CONSTRAINT_NAME: השם שהגדרתם לאילוץ המותאם אישית. לדוגמה,custom.region. -
כדי לאכוף את מדיניות הארגון במצב הרצה יבשה, מריצים את הפקודה הבאה עם הדגל
dryRunSpec: -
אחרי שמוודאים שמדיניות הארגון במצב הרצה יבשה פועלת כמו שרוצים, מגדירים את המדיניות הפעילה באמצעות הפקודה
org-policies set-policyוהדגלspec:
name: projects/PROJECT_ID/policies/CONSTRAINT_NAME spec: rules: - enforce: true dryRunSpec: rules: - enforce: true
מחליפים את מה שכתוב בשדות הבאים:
gcloud org-policies set-policy POLICY_PATH --update-mask=dryRunSpec
מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.
gcloud org-policies set-policy POLICY_PATH --update-mask=spec
מחליפים את POLICY_PATH בנתיב המלא לקובץ ה-YAML של מדיניות הארגון. יחלפו עד 15 דקות לפני שהמדיניות תיכנס לתוקף.
דוגמאות למדיניות הארגון מותאמת אישית לתרחישים נפוצים
בטבלה הזו מפורטות דוגמאות לתחביר של כמה אילוצים נפוצים בהתאמה אישית.
| תיאור | תחביר של אילוצים |
|---|---|
| מוודאים שהמכונות הן Enterprise Plus |
name: organizations/ORGANIZATION_ID/customConstraints/custom.edition resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.edition == 'ENTERPRISE_PLUS'" actionType: ALLOW displayName: Instances must be Enterprise Plus. description: Cloud SQL instances must be Enterprise Plus. |
| איך מוודאים שהמכונות הווירטואליות זמינות מאוד |
name: organizations/ORGANIZATION_ID/customConstraints/custom.availability resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.availabilityType == 'REGIONAL'" actionType: ALLOW displayName: Instances must be regional. description: Cloud SQL instances must be highly available. To do this, make them regional. |
| מוודאים שלמופעים יש מדיניות סיסמאות. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enforcePassword resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.passwordValidationPolicy.enablePasswordPolicy == true" actionType: ALLOW displayName: The password policy must be enabled for Cloud SQL instances. description: Cloud SQL instances must have a password policy. |
| מוודאים שמדיניות הסיסמאות למכונות כוללת אורך מינימלי |
name: organizations/ORGANIZATION_ID/customConstraints/custom.passwordMinLength resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.passwordValidationPolicy.minLength >= 6" actionType: ALLOW displayName: The password policy must have a minimum length of six characters. description: Cloud SQL instances must have a password policy that has a minimum length of six characters. |
| מוודאים שהמורכבות של מדיניות הסיסמאות מופעלת במופעים. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.passwordComplexity resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.passwordValidationPolicy.complexity == 'COMPLEXITY_DEFAULT'" actionType: ALLOW displayName: The password policy complexity must be enabled. description: Cloud SQL instances must have a password policy with complex passwords. |
| הדרישה היא שמצב SSL יופעל רק עם חיבורים מוצפנים. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.sslMode resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.ipConfiguration.sslMode == 'ENCRYPTED_ONLY'" actionType: ALLOW displayName: Only allow connections that are encrypted with SSL/TLS. description: Cloud SQL instances must only allow connections that are encrypted with SSL/TLS. |
| חסימת הגישה למסד הנתונים מכל מקום באינטרנט הציבורי. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.authorizedNetworks resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.ipConfiguration.authorizedNetworks.exists(network, network.value == '0.0.0.0/0')" actionType: DENY displayName: The list of authorized networks can't contain 0.0.0.0/0 description: Authorized networks for Cloud SQL instances can't contain 0.0.0.0/0. This allows users to access the database from any IP address. |
| מוודאים שלא נוצרות מכונות עם כתובת IP חיצונית. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.ipv4Enabled resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.ipConfiguration.ipv4Enabled == false" actionType: ALLOW displayName: ipv4Enabled must be set to false. description: Cloud SQL instances can't have an external IP address. |
| מוודאים שהמופעים מוצפנים באמצעות מפתח KMS. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.encrypted resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.diskEncryptionConfiguration.kmsKeyName.size() > 0" actionType: ALLOW displayName: Instances must be encrypted with a KMS key. description: Cloud SQL instances must be disk-encrypted with a KMS key. |
| בדיקה שהמופעים נמצאים באזור us-central1 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.region resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.region == 'us-central1'" actionType: ALLOW displayName: Instances must be in the us-central1 region. description: Cloud SQL instances must be in the us-central1 region. |
| מוודאים שהפעלתם את מטמון הנתונים במופעים. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.dataCache resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.dataCacheConfig.dataCacheEnabled == true" actionType: ALLOW displayName: Instances must have data cache enabled. description: Cloud SQL instances must have data cache enabled. |
| אכיפה של גיבויים אוטומטיים. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.enableBackups resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.backupConfiguration.enabled == true" actionType: ALLOW displayName: Automated backups must be enabled. description: Cloud SQL instances must have automated backups enabled. |
| הגבלת המיקום של גיבויים אוטומטיים. |
name: organizations/ORGANIZATION_ID/customConstraints/custom.automatedBackupLocation resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "resource.settings.backupConfiguration.location == 'us-central1'" actionType: ALLOW displayName: The location of automated backups must be in the us-central1 region. description: The location of automated backups for Cloud SQL instances must be in the us-central1 region. |
| הגבלת המיקום של גיבויים לפי דרישה ל-us-central1 |
name: organizations/ORGANIZATION_ID/customConstraints/custom.onDemandBackupLocation resourceTypes: - sqladmin.googleapis.com/BackupRun methodTypes: - CREATE - UPDATE condition: "condition: resource.location == 'us-central1'" actionType: ALLOW displayName: The location of on-demand backups must be in the us-central1 region. description: On-demand backups are restricted to the us-central1. |
| אכיפת גיבוי סופי במחיקת מופע |
name: organizations/ORGANIZATION_ID/customConstraints/custom.retainBackupsOnDelete resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "condition: resource.settings.finalBackupConfig.enabled == true" actionType: ALLOW displayName: Final backup is enabled and must be taken at instance deletion. description: Final backups are enabled for instance. |
| אכיפה של גיבוי סופי בתקופת השמירה של מחיקת מופע |
name: organizations/ORGANIZATION_ID/customConstraints/custom.retainBackupsOnDelete resourceTypes: - sqladmin.googleapis.com/Instance methodTypes: - CREATE - UPDATE condition: "condition: resource.settings.finalBackupConfig.enabled == true && resource.settings.finalBackupConfig.retentionDays == 20" actionType: ALLOW displayName: Final backup is enabled and must be retained for 20 days after instance deletion. description: Final backups is retained for 20 days after instance deletion. |
המאמרים הבאים
- מידע נוסף על השירות של מדיניות הארגון
- מידע נוסף על יצירה וניהול של כללי מדיניות לארגון
- כאן אפשר לראות את הרשימה המלאה של אילוצים מנוהלים של מדיניות הארגון.