このページでは、Cloud SQL インスタンスに関する組織のポリシーを追加して、プロジェクト、フォルダ、組織レベルで Cloud SQL に制限を課す方法について説明します。概要については、Cloud SQL の組織のポリシーをご覧ください。
始める前に
- アカウントにログインします。 Google Cloud を初めて使用する場合は、 アカウントを作成して、 実際のシナリオでプロダクトがどのように機能するかを評価してください。 Google Cloud新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
gcloud CLI を インストールします。
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します:
gcloud init -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
gcloud CLI を インストールします。
-
外部 ID プロバイダ(IdP)を使用している場合は、まず連携 ID を使用して gcloud CLI にログインする必要があります。
-
gcloud CLI を初期化するには、次のコマンドを実行します:
gcloud init - [IAM と管理] ページから、組織ポリシー管理者 ロール(
roles/orgpolicy.policyAdmin)をユーザー アカウントまたはサービス アカウントに追加します。 - この手順を行う前に、制限事項をご覧ください。
接続に関する組織のポリシーを追加する
概要については、接続に関する組織のポリシーをご覧ください。
接続に関する組織のポリシーを追加するには:
[組織のポリシー] ページに移動します。
上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。
制約
nameまたはdisplay_nameをフィルタします。インターネットへのアクセスまたはインターネットからのアクセスを無効にするには:
name: "constraints/sql.restrictPublicIp" display_name: "Restrict Public IP access on Cloud SQL instances"IAM 認証がない場合にインターネットからのアクセスを無効にするには(これは、プライベート IP を使用するアクセスには影響しません):
name: "constraints/sql.restrictAuthorizedNetworks" display_name: "Restrict Authorized Networks on Cloud SQL instances"
リストから、ポリシー [名前] を選択します。
[編集] をクリックします。
[カスタマイズ] をクリックします。
[ルールを追加] をクリックします。
[適用] で、[オン] をクリックします。
[保存] をクリックします。
CMEK に関する組織のポリシーを追加する
概要については、顧客管理の暗号鍵に関する組織のポリシーをご覧ください。
CMEK に関する組織のポリシーを追加するには:
[組織のポリシー] ページに移動します。
上部のタブの [プロジェクト] メニューをクリックし、組織のポリシーが必要なプロジェクト、フォルダ、組織を選択します。[組織のポリシー] ページに、利用可能な組織ポリシー制約のリストが表示されます。
制約
nameまたはdisplay_nameをフィルタします。サービス名を拒否リストに登録して、そのサービスのリソースで CMEK が使用されるようにするには:
name: "constraints/gcp.restrictNonCmekServices" display_name: "Restrict which services may create resources without CMEK"制限付きサービスのリストに
sqladmin.googleapis.comを追加して、拒否を設定する必要があります。プロジェクト ID を許可リストに登録して、そのプロジェクト内にある Cloud KMS のインスタンスの鍵のみが CMEK として使用されるようにします。
name: "constraints/gcp.restrictCmekCryptoKeyProjects" display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"
リストから、ポリシー [名前] を選択します。
[編集] をクリックします。
[カスタマイズ] をクリックします。
[ルールを追加] をクリックします。
[ポリシーの値] で [カスタム] をクリックします。
constraints/gcp.restrictNonCmekServicesの場合: a. [ポリシーの種類] で [拒否] を選択します。 b. [カスタム値] で、「sqladmin.googleapis.com」と入力します。constraints/gcp.restrictCmekCryptoKeyProjectsの場合: a. [ポリシーの種類] で [許可] を選択します。 b. [カスタム値] で、under:organizations/ORGANIZATION_ID、under:folders/FOLDER_ID、またはprojects/PROJECT_IDの形式でリソースを入力します。[完了] をクリックします。
[保存] をクリックします。
次のステップ
- 組織のポリシーについて学習する。
- Cloud SQL でプライベート IP がどのように機能するかについて学習する。
- Cloud SQL 用にプライベート IP を構成する方法について学習する。
- 組織のポリシー サービスについて学習する。
- 組織のポリシーの制約について学習する。