הוספת מדיניות ארגונית שהוגדרה מראש

בדף הזה מוסבר איך להוסיף מדיניות ארגונית למופעי Cloud SQL, כדי להגביל את Cloud SQL ברמת הפרויקט, התיקייה או הארגון. סקירה כללית מופיעה במאמר מדיניות הארגון ב-Cloud SQL.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. מתקינים את ה-CLI של gcloud.

  5. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  6. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. מתקינים את ה-CLI של gcloud.

  10. אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

  11. כדי לאתחל את ה-CLI של gcloud, הריצו את הפקודה הבאה: 

    gcloud init
  12. בדף IAM & Admin, מוסיפים את התפקיד Organization Policy Administrator ‏(roles/orgpolicy.policyAdmin) לחשבון המשתמש או לחשבון השירות.

    כניסה לדף IAM accounts

  13. לפני שמבצעים את התהליך הזה, כדאי לעיין בהגבלות.

הוספת מדיניות הארגון לקישור

סקירה כללית זמינה במאמר מדיניות ארגונית בנושא חיבורים.

כדי להוסיף מדיניות ארגונית לחיבור:

  1. עוברים לדף מדיניות הארגון.

    מעבר לדף מדיניות הארגון

  2. לוחצים על התפריט הנפתח של הפרויקטים בכרטיסייה העליונה, ואז בוחרים את הפרויקט, התיקייה או הארגון שנדרשת להם מדיניות הארגון. בדף Organization policies מוצגת רשימה של אילוצים שזמינים במדיניות הארגון.

  3. מסננים לפי האילוץ name או display_name.

    • כדי להשבית את הגישה לאינטרנט או ממנו:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • כדי להשבית את הגישה מהאינטרנט כשחסר אימות IAM (הפעולה הזו לא משפיעה על הגישה באמצעות כתובת IP פרטית):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. בוחרים את השם של המדיניות מהרשימה.

  5. לוחצים על Edit.

  6. לוחצים על התאמה אישית.

  7. לוחצים על הוספת כלל.

  8. בקטע Enforcement (אכיפה), לוחצים על On (הפעלה).

  9. לוחצים על Save.

הוספת מדיניות הארגון ל-CMEK

סקירה כללית זמינה במאמר בנושא מדיניות ארגונית בנושא מפתחות הצפנה בניהול הלקוח.

כדי להוסיף מדיניות ארגון של CMEK:

  1. עוברים לדף מדיניות הארגון.

    מעבר לדף מדיניות הארגון

  2. לוחצים על התפריט הנפתח של הפרויקטים בכרטיסייה העליונה, ואז בוחרים את הפרויקט, התיקייה או הארגון שנדרשת להם מדיניות הארגון. בדף Organization policies מוצגת רשימה של אילוצים שזמינים במדיניות הארגון.

  3. מסננים לפי האילוץ name או display_name.

    • כדי להוסיף שמות של שירותים לרשימת דחייה ולוודא ש-CMEK ישמש במשאבים של השירות הזה:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      צריך להוסיף את sqladmin.googleapis.com לרשימת השירותים המוגבלים עם הרשאה מסוג Deny.

    • כדי להוסיף מזהי פרויקטים לרשימת ההיתרים, כדי להבטיח שרק מפתחות ממופע של Cloud KMS בתוך הפרויקט הזה ישמשו ל-CMEK.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. בוחרים את השם של המדיניות מהרשימה.

  5. לוחצים על Edit.

  6. לוחצים על התאמה אישית.

  7. לוחצים על הוספת כלל.

  8. בקטע ערכי מדיניות, לוחצים על בהתאמה אישית.

  9. עבור constraints/gcp.restrictNonCmekServices: א. בקטע סוגי מדיניות, בוחרים באפשרות דחייה. ב. בקטע ערכים מותאמים אישית, מזינים sqladmin.googleapis.com.

    עבור constraints/gcp.restrictCmekCryptoKeyProjects: א. בקטע סוגי מדיניות, בוחרים באפשרות אישור. ב. בקטע ערכים בהתאמה אישית, מזינים את המשאב בפורמט הבא: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID או projects/PROJECT_ID.

  10. לוחצים על סיום.

  11. לוחצים על Save.

המאמרים הבאים