Vordefinierte Organisationsrichtlinien verwenden

Auf dieser Seite wird beschrieben, wie Sie vordefinierte Organisationsrichtlinien für AlloyDB for PostgreSQL-Cluster und ‑Sicherungen hinzufügen, um AlloyDB auf Projekt-, Ordner- oder Organisationsebene einzuschränken.

Organisationsrichtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

Mit der CMEK-Organisationsrichtlinie können Sie die CMEK-Einstellungen Ihrer AlloyDB-Cluster und ‑Sicherungen steuern. Mit dieser Richtlinie können Sie die Cloud KMS-Schlüssel verwalten, die Sie zum Schutz Ihrer Daten verwenden.

AlloyDB unterstützt zwei Einschränkungen für Organisationsrichtlinien, die den CMEK-Schutz in einer Organisation gewährleisten:

  • constraints/gcp.restrictNonCmekServices: Erfordert CMEK-Schutz für alloydb.googleapis.com. Wenn Sie diese Einschränkung hinzufügen und alloydb.googleapis.com in die Richtlinienliste Deny der Dienste aufnehmen, erstellt AlloyDB keinen neuen Cluster oder kein neues Backup, es sei denn, sie sind mit CMEK aktiviert.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Beschränkt, welche Cloud KMS CryptoKeys Sie für den CMEK-Schutz in AlloyDB-Clustern und ‑Sicherungen verwenden können. Wenn mit dieser Einschränkung in AlloyDB ein neuer Cluster oder eine Sicherung mit CMEK erstellt wird, muss der CryptoKey aus einem zulässigen Projekt, Ordner oder einer Organisation stammen.

Diese Einschränkungen werden nur für neu erstellte AlloyDB-Cluster und ‑Sicherungen durchgesetzt.

Weitere Informationen finden Sie unter CMEK-Organisationsrichtlinien. Informationen zu CMEK-Organisationsrichtlinieneinschränkungen finden Sie unter Organisationsrichtlinieneinschränkungen.

Hinweise

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  6. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  11. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init
  12. Fügen Sie auf der Seite IAM & Verwaltung die Rolle Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin) Ihrem Nutzer- oder Dienstkonto hinzu.

    Zur Seite "IAM-Konten"

    13. CMEK-Organisationsrichtlinie hinzufügen

    So fügen Sie eine CMEK-Organisationsrichtlinie hinzu:

    1. Rufen Sie die Seite Organisationsrichtlinien auf.

      Weiter zur Seite "Organisationsrichtlinien"

    2. Klicken Sie in der Google Cloud Menüleiste auf das Drop-down-Menü und wählen Sie das Projekt, den Ordner oder die Organisation aus, für die eine Organisationsrichtlinie erforderlich ist. Auf der Seite Organisationsrichtlinien wird eine Liste der verfügbaren Einschränkungen für Organisationsrichtlinien angezeigt.

    3. So legen Sie constraints/gcp.restrictNonCmekServices fest:

      1. Filtern Sie nach der Einschränkung mit ID: constraints/gcp.restrictNonCmekServices oder Name: Restrict which services may create resources without CMEK.
      2. Klicken Sie auf den Namen der Einschränkung.
      3. Klicken Sie auf Bearbeiten.
      4. Klicken Sie auf Anpassen.
      5. Klicken Sie auf Regel hinzufügen.
      6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
      7. Wählen Sie unter Richtlinientypen die Option Ablehnen aus.
      8. Geben Sie unter Benutzerdefinierte Werte alloydb.googleapis.com ein. So wird sichergestellt, dass CMEK beim Erstellen von AlloyDB-Clustern und ‑Sicherungen erzwungen wird.

    4. So legen Sie constraints/gcp.restrictCmekCryptoKeyProjects fest:

      1. Filtern Sie nach der Einschränkung ID: constraints/gcp.restrictCmekCryptoKeyProjects oder Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Klicken Sie auf den Namen der Einschränkung.
      3. Klicken Sie auf Bearbeiten.
      4. Klicken Sie auf Anpassen.
      5. Klicken Sie auf Regel hinzufügen.
      6. Klicken Sie unter Richtlinienwerte auf Benutzerdefiniert.
      7. Wählen Sie unter Richtlinientypen die Option Zulassen aus.

      8. Geben Sie unter Benutzerdefinierte Werte die Ressource im folgenden Format ein: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID oder projects/PROJECT_ID.

        So wird sichergestellt, dass für Ihre AlloyDB-Cluster und ‑Sicherungen nur die Cloud KMS-Schlüssel aus dem zulässigen Projekt, Ordner oder der zulässigen Organisation verwendet werden.

    5. Klicken Sie auf Fertig und dann auf Speichern.

    Nächste Schritte