Usar políticas predefinidas da organização

Nesta página, descrevemos como adicionar políticas da organização predefinidas em clusters e backups do AlloyDB para PostgreSQL, o que permite restringir o uso do AlloyDB no nível do projeto, da pasta ou da organização.

Política da organização para chaves de criptografia gerenciadas pelo cliente (CMEK)

É possível usar a política da organização de CMEK para controlar as configurações de CMEK dos seus clusters e backups do AlloyDB. Com essa política, você controla as chaves do Cloud KMS usadas para proteger seus dados.

O AlloyDB é compatível com duas restrições de política da organização que ajudam a garantir a proteção CMEK em uma organização:

  • constraints/gcp.restrictNonCmekServices: exige proteção com CMEK para o alloydb.googleapis.com. Quando você adiciona essa restrição e o alloydb.googleapis.com à lista de serviços da política Deny, o AlloyDB se recusa a criar um novo cluster ou backup, a menos que eles estejam ativados com CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita as CryptoKeys do Cloud KMS que podem ser usadas para proteção CMEK em clusters e backups do AlloyDB. Com essa restrição, quando o AlloyDB cria um novo cluster ou backup com CMEK, a CryptoKey precisa vir de um projeto, uma pasta ou uma organização permitida.

Essas restrições são aplicadas apenas em clusters e backups do AlloyDB recém-criados.

Para mais informações sobre a visão geral, consulte Políticas da organização CMEK. Para informações sobre restrições da política da organização CMEK, consulte Restrições da política da organização.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  6. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  11. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init
  12. Adicione o papel Administrador da política da organização (roles/orgpolicy.policyAdmin) à sua conta de usuário ou de serviço da página IAM e administrador.

    Acessar a página de contas do IAM

    13. Adicionar a política da organização de CMEK

    Para adicionar uma política da organização para CMEK, siga estas etapas:

    1. Acessar a página Políticas da organização.

      Acessar a página "Políticas da organização"

    2. Clique no menu suspenso na barra de menus do console Google Cloud e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

    3. Para definir constraints/gcp.restrictNonCmekServices, siga estas etapas:

      1. Filtre a restrição usando o ID: constraints/gcp.restrictNonCmekServices ou o Name: Restrict which services may create resources without CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Editar.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores da política, clique em Personalizado.
      7. Em Tipos de política, selecione Negar.
      8. Em Valores personalizados, digite alloydb.googleapis.com. Isso garante que a CMEK seja aplicada ao criar clusters e backups do AlloyDB.

    4. Para definir constraints/gcp.restrictCmekCryptoKeyProjects, siga estas etapas:

      1. Filtre a restrição ID: constraints/gcp.restrictCmekCryptoKeyProjects ou Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Editar.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores da política, clique em Personalizado.
      7. Em Tipos de política, selecione Permitir.

      8. Em Valores personalizados, digite o recurso usando o seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

        Isso garante que seus clusters e backups do AlloyDB usem as chaves do Cloud KMS apenas do projeto, pasta ou organização permitidos.

    5. Clique em Concluído e depois em Salvar.

    A seguir