Questa pagina spiega come utilizzare un criterio dell'organizzazione con il tuo progetto Cloud SQL. Per iniziare a creare i criteri dell'organizzazione, consulta Aggiungere criteri dell'organizzazione.
Panoramica
I criteri dell'organizzazione consentono agli amministratori di impostare limitazioni su come gli utenti possono configurare le istanze all'interno dell'organizzazione. I criteri dell'organizzazione utilizzano regole, chiamate vincoli, che l'amministratore dell'organizzazione applica a un progetto, a una cartella o a un'organizzazione. I vincoli applicano il criterio in tutte le istanze. Ad esempio, se provi a creare un'istanza in un'entità con un criterio dell'organizzazione, il vincolo esegue un controllo per assicurarsi che la configurazione dell'istanza rispetti i requisiti del vincolo. Se il controllo non va a buon fine, Cloud SQL non crea l'istanza.
Quando aggiungi progetti a un'organizzazione o a una cartella che utilizza un criterio dell'organizzazione, i progetti ereditano i vincoli di quel criterio.
Per ulteriori informazioni sui criteri dell'organizzazione, consulta Servizio Criteri dell'organizzazione, Vincoli e Valutazione gerarchica.
I tipi di criteri dell'organizzazione specifici di Cloud SQL sono i seguenti:
Criteri dell'organizzazione predefiniti
Puoi utilizzare i vincoli predefiniti per controllare le impostazioni dell'IP pubblico e della chiave di crittografia gestita dal cliente (CMEK) delle istanze Cloud SQL. Per un controllo più granulare e personalizzabile su altre impostazioni supportate, puoi utilizzare i vincoli personalizzati. Per ulteriori informazioni, consulta i criteri dell'organizzazione personalizzata.
Criteri di connessione dell'organizzazione
I criteri di organizzazione delle connessioni forniscono il controllo centralizzato delle impostazioni dell'IP pubblico per Cloud SQL, per ridurre la superficie di attacco per la sicurezza delle istanze Cloud SQL da internet. Un amministratore dei criteri dell'organizzazione può utilizzare un criterio di connessione per limitare le configurazioni degli IP pubblici di Cloud SQL a livello di progetto, cartella o organizzazione.
Vincoli dei criteri di connessione dell'organizzazione
Per il criterio dell'organizzazione di connessione, esistono due tipi di vincoli che forzano l'accesso alle istanze Cloud SQL.
Vincolo | Descrizione | Predefinito |
---|---|---|
Limita l'accesso IP pubblico nelle istanze Cloud SQL | Questo vincolo booleano limita la configurazione dell'indirizzo IP pubblico
nelle istanze Cloud SQL in cui questo vincolo è impostato su
True . Questo vincolo non è retroattivo. Le istanze Cloud SQL
con accesso IP pubblico esistente continueranno a funzionare anche dopo l'applicazione di questo
vincolo.
Per impostazione predefinita, alle istanze Cloud SQL è consentito l'accesso IP pubblico. constraints/sql.restrictPublicIp
|
CONSENTI |
Limita reti autorizzate nelle istanze di Cloud SQL | Se impostato su True , questo vincolo booleano limita
l'aggiunta di reti autorizzate per l'accesso ai database senza proxy alle
istanze Cloud SQL. Questo vincolo non è retroattivo.
Le istanze Cloud SQL con reti autorizzate esistenti continueranno a funzionare anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, puoi aggiungere reti autorizzate alle istanze Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
CONSENTI |
Restrizioni per i criteri di connessione dell'organizzazione
Quando imposti il criterio dell'organizzazione per ogni progetto, devi stabilire se al progetto si applica una delle seguenti condizioni:
- Conflitti di IP pubblico delle repliche di lettura
- Incompatibilità con l'utilizzo di gcloud CLI sql connect
- Accesso ai servizi ospitati su Google Cloud
- Conflitti di IP pubblico della replica di failover MySQL
- Indirizzi IP privati non RFC 1918
Conflitti di indirizzi IP pubblici delle repliche di lettura
Le repliche di lettura Cloud SQL si connettono all'istanza principale tramite la connessione al database non proxy. Utilizza l'impostazione Reti autorizzate dell'istanza principale per configurare esplicitamente o implicitamente gli indirizzi IP pubblici della replica di lettura.
Se sia l'istanza principale sia quella di replica si trovano nella stessa regione e attivano IPv4 privato, non esiste alcun conflitto con i vincoli dei criteri di organizzazione delle connessioni.
Incompatibilità con l'utilizzo di gcloud sql connect
Il comando gcloud sql connect
utilizza un indirizzo IP pubblico per connettersi direttamente alle istanze Cloud SQL. Pertanto, non è compatibile con il vincolo sql.restrictPublicIp
. In genere, si tratta di un problema per le istanze che utilizzano l'IP privato.
Inoltre, il comando gcloud sql connect
non utilizza il proxy, il che lo rende incompatible con il vincolo sql.restrictAuthorizedNetworks
.
Utilizza invece la versione beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Questa versione utilizza il proxy di autenticazione Cloud SQL. Per informazioni di riferimento, consulta
gcloud beta sql connect
.
La prima volta che esegui questo comando, ti viene chiesto di installare il componente Cloud SQL Auth Proxy della CLI gcloud. Per farlo, devi disporre dell'autorizzazione di scrittura per la directory di installazione dell'SDK gcloud CLI sulla tua macchina client.
Accesso ai servizi ospitati su Google Cloud
Se la tua applicazione richiede l'accesso alle istanze Cloud SQL da altri servizi ospitati su Google Cloud, come App Engine, deve utilizzare indirizzi IP pubblici. Non applicare la vincolo sql.restrictPublicIp
al progetto. Tuttavia, puoi applicaresql.restrictAuthorizedNetworks
, poiché le connessioni da
App Engine passano attraverso la connessione sicura (con proxy).
Conflitti di IP pubblico della replica di failover MySQL
Una replica di failover MySQL si comporta come una replica di lettura per i criteri di organizzazione della connessione. Se entrambe le istanze principali e di replica si trovano nella stessa regione e attivano l'IP privato, non esiste alcun conflitto con i vincoli dei criteri dell'organizzazione di connessione.
Indirizzi IP privati non RFC 1918
Le connessioni a un'istanza Cloud SQL che utilizzano un indirizzo IP privato sono autorizzate automaticamente per gli intervalli di indirizzi RFC 1918. In questo modo, tutti i client privati possono accedere al database senza dover passare per il proxy. Devi configurare gli intervalli di indirizzi non RFC 1918 come reti autorizzate.
Per utilizzare intervalli IP privati non RFC 1918 non configurati nelle reti autorizzate, puoi eseguire una o entrambe le seguenti azioni:
- Non applicare
sql.restrictAuthorizedNetworks
. Se le reti autorizzate applicano anchesql.restrictPublicIp
, non puoi configurarle nella console. Utilizza invece l'API Cloud SQL o l'interfaccia a riga di comando gcloud. - Utilizza le connessioni proxy per le istanze con IP privato.
Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)
Cloud SQL supporta due vincoli dei criteri dell'organizzazione che contribuiscono a garantire la protezione di Cloud KMS in un'organizzazione: constraints/gcp.restrictNonCmekServices
e constraints/gcp.restrictCmekCryptoKeyProjects
.
Il vincolo constraints/gcp.restrictNonCmekServices
richiede la protezione CMEK per sqladmin.googleapis.com
. Quando aggiungi questo vincolo e sqladmin.googleapis.com
all'elenco di servizi dei criteri Deny
, Cloud SQL rifiuta di creare nuove istanze, a meno che non siano attivate con CMEK.
Il vincolo constraints/gcp.restrictCmekCryptoKeyProjects
limita le CryptoKey Cloud KMS da utilizzare per la protezione CMEK nelle istanze Cloud SQL per MySQL. Con questo vincolo, quando Cloud SQL
crea una nuova istanza con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.
Questi vincoli vengono applicati solo alle istanze Cloud SQL per MySQL di nuova creazione.
Per ulteriori informazioni di panoramica, consulta Criteri dell'organizzazione CMEK. Per informazioni sui vincoli dei criteri dell'organizzazione CMEK, consulta Vincoli dei criteri dell'organizzazione.
Norme dell'organizzazione personalizzate
Per un controllo granulare e personalizzabile delle impostazioni, puoi creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione personalizzato. Puoi utilizzare criteri dell'organizzazione personalizzati per migliorare la sicurezza, la conformità e la governance.
Per scoprire come creare criteri dell'organizzazione personalizzati, consulta Aggiungere criteri dell'organizzazione personalizzati. Puoi anche visualizzare un elenco dei campi supportati per le limitazioni personalizzate.
Regole di applicazione dei criteri dell'organizzazione
Cloud SQL applica i criteri dell'organizzazione durante le seguenti operazioni:
- Creazione dell'istanza
- Creazione di una replica
- Riavvio dell'istanza
- Migrazione delle istanze
- Clona istanza
Come per tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate retroattivamente alle istanze esistenti.
- Un nuovo criterio non ha alcun effetto sulle istanze esistenti.
- Una configurazione esistente dell'istanza rimane valida, a meno che un utente non modifichi la configurazione dell'istanza da uno stato di conformità a uno stato di non conformità utilizzando la console, gcloud CLI o RPC.
- Un aggiornamento di manutenzione pianificata non causa l'applicazione dei criteri, perché la manutenzione non modifica la configurazione delle istanze.
Passaggi successivi
- Configurare i criteri dell'organizzazione.
- Scopri come funziona l'IP privato con Cloud SQL.
- Scopri come configurare l'IP privato per Cloud SQL.
- Scopri di più sul servizio Criteri dell'organizzazione.
- Scopri di più sui vincoli delle policy dell'organizzazione.