Usar políticas predefinidas da organização

Nesta página, descrevemos como adicionar políticas predefinidas da organização em clusters e backups do AlloyDB para PostgreSQL, o que permite restringir o uso do AlloyDB no nível do projeto, da pasta ou da organização.

Política da organização para chaves de criptografia gerenciadas pelo cliente (CMEK)

É possível usar a política da organização de CMEK para controlar as configurações de CMEK dos seus clusters e backups do AlloyDB. Com essa política, você controla as chaves do Cloud KMS usadas para proteger seus dados.

O AlloyDB é compatível com duas restrições de política da organização que ajudam a garantir a proteção CMEK em uma organização:

  • constraints/gcp.restrictNonCmekServices: exige proteção de CMEK para o alloydb.googleapis.com. Quando você adiciona essa restrição e o alloydb.googleapis.com à lista de serviços da política Deny, o AlloyDB se recusa a criar um novo cluster ou backup, a menos que eles estejam ativados com CMEK.
  • constraints/gcp.restrictCmekCryptoKeyProjects: limita as CryptoKeys do Cloud KMS que podem ser usadas para proteção CMEK em clusters e backups do AlloyDB. Com essa restrição, quando o AlloyDB cria um novo cluster ou um backup com CMEK, a CryptoKey precisa vir de um projeto, uma pasta ou uma organização permitida.

Essas restrições são aplicadas apenas em clusters e backups recém-criados do AlloyDB.

Para mais informações sobre a visão geral, consulte Políticas da organização CMEK. Para informações sobre restrições da política da organização CMEK, consulte Restrições da política da organização.

Antes de começar

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.

  5. Se você estiver usando um provedor de identidade externo (IdP), primeiro faça login na CLI gcloud com sua identidade federada.

  6. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Install the Google Cloud CLI.

  10. Se você estiver usando um provedor de identidade externo (IdP), primeiro faça login na CLI gcloud com sua identidade federada.

  11. Para inicializar a CLI gcloud, execute o seguinte comando: 

    gcloud init
  12. Adicione o papel Administrador da política da organização (roles/orgpolicy.policyAdmin) à sua conta de usuário ou de serviço da página IAM e administrador.

    Acessar a página de contas do IAM

    13. Adicionar a política da organização de CMEK

    Para adicionar uma política da organização para CMEK, siga estas etapas:

    1. Acessar a página Políticas da organização.

      Acessar a página "Políticas da organização"

    2. Clique no menu suspenso na barra de menus do console Google Cloud e selecione o projeto, a pasta ou a organização que exige a política da organização. A página Políticas da organização exibe uma lista das restrições de políticas da organização disponíveis.

    3. Para definir constraints/gcp.restrictNonCmekServices, siga estas etapas:

      1. Filtre a restrição usando o ID: constraints/gcp.restrictNonCmekServices ou o Name: Restrict which services may create resources without CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Editar.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores da política, clique em Personalizado.
      7. Em Tipos de política, selecione Negar.
      8. Em Valores personalizados, digite alloydb.googleapis.com. Isso garante que a CMEK seja aplicada ao criar clusters e backups do AlloyDB.

    4. Para definir constraints/gcp.restrictCmekCryptoKeyProjects, siga estas etapas:

      1. Filtre a restrição ID: constraints/gcp.restrictCmekCryptoKeyProjects ou Name: Restrict which projects may supply KMS CryptoKeys for CMEK.
      2. Clique no Nome da restrição.
      3. Clique em Editar.
      4. Clique em Personalizar.
      5. Clique em Adicionar regra.
      6. Em Valores da política, clique em Personalizado.
      7. Em Tipos de política, selecione Permitir.

      8. Em Valores personalizados, digite o recurso usando o seguinte formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID ou projects/PROJECT_ID.

        Isso garante que seus clusters e backups do AlloyDB usem as chaves do Cloud KMS apenas do projeto, da pasta ou da organização permitida.

    5. Clique em Concluído e depois em Salvar.

    A seguir