Menggunakan kebijakan organisasi standar

Halaman ini menjelaskan cara menambahkan kebijakan organisasi yang telah ditentukan sebelumnya pada cluster dan cadangan AlloyDB for PostgreSQL, yang memungkinkan Anda menetapkan batasan pada AlloyDB di tingkat project, folder, atau organisasi.

Kebijakan organisasi kunci enkripsi yang dikelola pelanggan (CMEK)

Anda dapat menggunakan kebijakan organisasi CMEK untuk mengontrol setelan CMEK pada cluster dan cadangan AlloyDB Anda. Kebijakan ini memungkinkan Anda mengontrol kunci Cloud KMS yang Anda gunakan untuk melindungi data Anda.

AlloyDB mendukung dua batasan kebijakan organisasi yang membantu memastikan perlindungan CMEK di seluruh organisasi:

  • constraints/gcp.restrictNonCmekServices: Mewajibkan perlindungan CMEK untuk alloydb.googleapis.com. Saat Anda menambahkan batasan ini dan menambahkan alloydb.googleapis.com ke daftar kebijakan layanan Deny, AlloyDB akan menolak pembuatan cluster atau cadangan baru kecuali jika diaktifkan dengan CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: Membatasi CryptoKey Cloud KMS yang dapat Anda gunakan untuk perlindungan CMEK di cluster dan cadangan AlloyDB. Dengan batasan ini, saat AlloyDB membuat cluster baru atau cadangan dengan CMEK, CryptoKey harus berasal dari project, folder, atau organisasi yang diizinkan.

Batasan ini hanya diterapkan pada cluster dan cadangan AlloyDB yang baru dibuat.

Untuk mengetahui informasi ringkasan selengkapnya, lihat kebijakan organisasi CMEK. Untuk informasi tentang batasan kebijakan organisasi CMEK, lihat Batasan kebijakan organisasi.

Sebelum memulai

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  6. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.

  11. Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut: 

    gcloud init
  12. Tambahkan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) ke akun pengguna atau layanan Anda dari halaman IAM & Admin.

    Buka halaman akun IAM

    13. Menambahkan kebijakan organisasi CMEK

    Untuk menambahkan kebijakan organisasi CMEK, ikuti langkah-langkah berikut:

    1. Buka halaman Kebijakan organisasi.

      Buka halaman Kebijakan organisasi

    2. Klik drop-down di panel menu konsol Google Cloud , lalu pilih project, folder, atau organisasi yang memerlukan kebijakan organisasi. Halaman Kebijakan organisasi menampilkan daftar batasan kebijakan organisasi yang tersedia.

    3. Untuk menyetel constraints/gcp.restrictNonCmekServices, ikuti langkah-langkah berikut:

      1. Filter batasan menggunakan ID: constraints/gcp.restrictNonCmekServices atau Name: Restrict which services may create resources without CMEK.
      2. Klik Nama batasan.
      3. Klik Edit.
      4. Klik Sesuaikan.
      5. Klik Tambahkan Aturan.
      6. Di bagian Nilai kebijakan, klik Kustom.
      7. Di bagian Jenis kebijakan, pilih Tolak.
      8. Di bagian Nilai kustom, masukkan alloydb.googleapis.com. Tindakan ini memastikan bahwa CMEK diterapkan saat membuat cluster dan cadangan AlloyDB.

    4. Untuk menyetel constraints/gcp.restrictCmekCryptoKeyProjects, ikuti langkah-langkah berikut:

      1. Filter batasan ID: constraints/gcp.restrictCmekCryptoKeyProjects atau Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Klik Nama batasan.
      3. Klik Edit.
      4. Klik Sesuaikan.
      5. Klik Tambahkan Aturan.
      6. Di bagian Nilai kebijakan, klik Kustom.
      7. Di bagian Jenis kebijakan, pilih Izinkan.

      8. Di bagian Nilai kustom, masukkan resource menggunakan format berikut: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, atau projects/PROJECT_ID.

        Hal ini memastikan bahwa cluster dan cadangan AlloyDB Anda hanya menggunakan kunci Cloud KMS dari project, folder, atau organisasi yang diizinkan.

    5. Klik Done, lalu klik Save.

    Langkah berikutnya