Menambahkan kebijakan organisasi yang telah ditentukan sebelumnya

Halaman ini menjelaskan cara menambahkan kebijakan organisasi pada instance Cloud SQL, untuk menetapkan batasan pada Cloud SQL di tingkat project, folder, atau organisasi. Untuk mengetahui ringkasannya, lihat Kebijakan organisasi Cloud SQL.

Sebelum memulai

  1. Login ke akun Google Cloud Anda. Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa produk kami dalam skenario dunia nyata. Pelanggan baru juga mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Instal gcloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Instal gcloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  12. Tambahkan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) ke akun pengguna atau layanan Anda dari halaman IAM & Admin.

    Buka halaman akun IAM

  13. Lihat Pembatasan sebelum melakukan prosedur ini.

Menambahkan kebijakan organisasi koneksi

Untuk mengetahui ringkasannya, lihat Kebijakan organisasi koneksi.

Untuk menambahkan kebijakan organisasi koneksi:

  1. Buka halaman Kebijakan organisasi.

    Buka halaman Kebijakan organisasi

  2. Klik menu dropdown project di tab atas, lalu pilih project, folder, atau organisasi yang memerlukan kebijakan organisasi. Halaman Kebijakan organisasi menampilkan daftar batasan kebijakan organisasi yang tersedia.

  3. Filter batasan name atau display_name.

    • Untuk menonaktifkan akses ke atau dari Internet:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • Untuk menonaktifkan akses dari internet saat autentikasi IAM tidak ada (hal ini tidak memengaruhi akses yang menggunakan IP Pribadi):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. Pilih Nama kebijakan dari daftar.

  5. Klik Edit.

  6. Klik Sesuaikan.

  7. Klik Tambahkan Aturan.

  8. Di bagian Penegakan, klik Aktifkan.

  9. Klik Simpan.

Menambahkan kebijakan organisasi CMEK

Untuk ringkasan, lihat Kebijakan organisasi kunci enkripsi yang dikelola pelanggan.

Untuk menambahkan kebijakan organisasi CMEK:

  1. Buka halaman Kebijakan organisasi.

    Buka halaman Kebijakan organisasi

  2. Klik menu dropdown project di tab atas, lalu pilih project, folder, atau organisasi yang memerlukan kebijakan organisasi. Halaman Kebijakan organisasi menampilkan daftar batasan kebijakan organisasi yang tersedia.

  3. Filter batasan name atau display_name.

    • Untuk memasukkan nama layanan dalam daftar TOLAK untuk memastikan bahwa CMEK digunakan dalam resource untuk layanan tersebut:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      Anda harus menambahkan sqladmin.googleapis.com ke daftar layanan yang dibatasi dengan Tolak.

    • Memasukkan project ID ke dalam daftar IZINKAN untuk memastikan bahwa hanya kunci dari instance Cloud KMS dalam project tersebut yang digunakan untuk CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. Pilih Nama kebijakan dari daftar.

  5. Klik Edit.

  6. Klik Sesuaikan.

  7. Klik Tambahkan Aturan.

  8. Di bagian Nilai kebijakan, klik Kustom.

  9. Untuk constraints/gcp.restrictNonCmekServices: a. Di bagian Jenis kebijakan, pilih Tolak. b. Di bagian Nilai kustom, masukkan sqladmin.googleapis.com.

    Untuk constraints/gcp.restrictCmekCryptoKeyProjects: a. Di bagian Jenis kebijakan, pilih Izinkan. b. Di bagian Nilai kustom, masukkan resource menggunakan format berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID.

  10. Klik Done.

  11. Klik Simpan.

Langkah berikutnya