Questa pagina spiega come utilizzare una policy dell'organizzazione con il tuo progetto Cloud SQL. Per iniziare a creare criteri dell'organizzazione, consulta Aggiungere criteri dell'organizzazione.
Panoramica
I criteri dell'organizzazione consentono agli amministratori dell'organizzazione di impostare restrizioni su come gli utenti possono configurare le istanze nell'organizzazione. I criteri dell'organizzazione utilizzano regole, chiamate vincoli, che l'amministratore dell'organizzazione applica a un progetto, una cartella o un'organizzazione. I vincoli applicano il criterio in tutte le istanze. Se, ad esempio, provi a creare un'istanza in un'entità che ha un criterio dell'organizzazione, il vincolo esegue un controllo per assicurarsi che la configurazione dell'istanza rispetti i requisiti del vincolo. Se il controllo non va a buon fine, Cloud SQL non crea l'istanza.
Quando aggiungi progetti a un'organizzazione o a una cartella che utilizza una policy dell'organizzazione, i progetti ereditano i vincoli di questa policy.
Per saperne di più sulle policy dell'organizzazione, consulta Servizio Policy dell'organizzazione, Vincoli e Valutazione gerarchica.
I tipi di norme dell'organizzazione specifiche per Cloud SQL sono i seguenti:
Policy dell'organizzazione predefinite
Puoi utilizzare i vincoli predefiniti per controllare le impostazioni IP pubblico e le impostazioni della chiave di crittografia gestita dal cliente (CMEK) delle istanze Cloud SQL. Per un controllo più granulare e personalizzabile su altre impostazioni supportate, puoi utilizzare i vincoli personalizzati. Per saperne di più, consulta le norme dell'organizzazione personalizzate.
Criteri di connessione dell'organizzazione
I criteri dell'organizzazione per la connessione forniscono un controllo centralizzato delle impostazioni IP pubblico per Cloud SQL, per ridurre la superficie di attacco di sicurezza delle istanze Cloud SQL da internet. Un amministratore dei criteri dell'organizzazione può utilizzare un criterio di connessione per limitare le configurazioni IP pubblico di Cloud SQL a livello di progetto, cartella o organizzazione.
Vincoli dei criteri di connessione dell'organizzazione
Per il criterio dell'organizzazione della connessione, esistono due tipi di vincoli predefiniti che impongono l'accesso alle istanze Cloud SQL. Esistono anche policy dell'organizzazione personalizzate che possono essere utilizzate per applicare i criteri di connessione dell'organizzazione. Per ulteriori informazioni, consulta gli esempi di ipConfiguration in vincoli personalizzati di esempio.
| Vincolo | Descrizione | Comportamento predefinito |
|---|---|---|
| Limita l'accesso IP pubblico nelle istanze Cloud SQL | Questo vincolo booleano limita la configurazione dell'indirizzo IP pubblico
nelle istanze Cloud SQL in cui questo vincolo è impostato su
True. Questo vincolo non è retroattivo. Le istanze Cloud SQL con accesso IP pubblico esistente continuano a funzionare anche dopo l'applicazione di questo vincolo.
Per impostazione predefinita, l'accesso IP pubblico alle istanze Cloud SQL è consentito. constraints/sql.restrictPublicIp
|
Consentito |
| Limita reti autorizzate nelle istanze di Cloud SQL | Se impostato su True, questo vincolo booleano limita
l'aggiunta di reti autorizzate per l'accesso ai database senza proxy alle
istanze di Cloud SQL. Questo vincolo non è retroattivo.
Le istanze Cloud SQL con reti autorizzate esistenti continuano a funzionare
anche dopo l'applicazione di questo vincolo. Per impostazione predefinita, puoi aggiungere reti autorizzate alle istanze Cloud SQL. constraints/sql.restrictAuthorizedNetworks |
Consentito |
Limitazioni per i criteri di connessione dell'organizzazione
Quando imposti il criterio dell'organizzazione per ogni progetto, devi determinare se al tuo progetto si applica uno dei seguenti casi:
- Conflitti IP pubblici delle repliche di lettura
- Incompatibilità durante l'utilizzo di gcloud CLI sql connect
- Google Cloud Accesso ai servizi ospitati
- Indirizzi IP privati non RFC 1918
Conflitti di indirizzi IP pubblici delle repliche di lettura
Le repliche di lettura Cloud SQL si connettono all'istanza primaria tramite la connessione al database non sottoposta a proxy. Utilizzi l'impostazione Reti autorizzate dell'istanza principale per configurare in modo esplicito o implicito gli indirizzi IP pubblici delle repliche di lettura.
Se sia l'istanza primaria sia quella di replica si trovano nella stessa regione e abilitano l'IP privato, non si verifica alcun conflitto con i vincoli dei criteri dell'organizzazione di connessione.
Incompatibilità con gcloud sql connect
Il comando gcloud sql connect utilizza un indirizzo IP pubblico per connettersi direttamente alle istanze Cloud SQL. Pertanto, non è compatibile con il vincolo
sql.restrictPublicIp. In genere, questo è un problema per
le istanze che utilizzano l'IP privato.
Inoltre, il comando gcloud sql connect non utilizza il proxy, il che lo rende
incompatibile con il vincolo sql.restrictAuthorizedNetworks.
Utilizza invece la versione beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Questa versione utilizza il proxy di autenticazione Cloud SQL. Per informazioni di riferimento, consulta
gcloud beta sql connect.
La prima volta che esegui questo comando, ti viene chiesto di installare il componente proxy di autenticazione Cloud SQL della gcloud CLI. Per farlo, devi disporre dell'autorizzazione di scrittura per la directory di installazione dell'SDK dell'interfaccia a riga di comando gcloud sulla tua macchina client.
Indirizzi IP privati non RFC 1918
Le connessioni a un'istanza Cloud SQL che utilizza un indirizzo IP privato sono autorizzate automaticamente per gli intervalli di indirizzi RFC 1918. In questo modo, tutti i client privati possono accedere al database senza passare attraverso il proxy. Devi configurare gli intervalli di indirizzi non RFC 1918 come reti autorizzate.
Per utilizzare intervalli di IP privati non RFC 1918 che non sono configurati nelle reti autorizzate, puoi eseguire una o entrambe le seguenti azioni:
- Non forzare l'applicazione di
sql.restrictAuthorizedNetworks. Se le reti autorizzate applicano anchesql.restrictPublicIp, non puoi configurarle nella console. Utilizza invece l'API Cloud SQL o gcloud CLI. - Utilizza connessioni proxy per le istanze con IP privato.
Criteri dell'organizzazione per le chiavi di crittografia gestite dal cliente (CMEK)
Cloud SQL supporta due vincoli dei criteri dell'organizzazione che contribuiscono a garantire
la protezione CMEK in un'organizzazione: constraints/gcp.restrictNonCmekServices
e constraints/gcp.restrictCmekCryptoKeyProjects.
Il vincolo constraints/gcp.restrictNonCmekServices richiede la protezione CMEK per sqladmin.googleapis.com. Quando aggiungi questo vincolo e
aggiungi sqladmin.googleapis.com all'elenco dei servizi dei criteri Deny,
Cloud SQL rifiuta di creare nuove istanze a meno che non siano abilitate con
CMEK.
Il vincolo constraints/gcp.restrictCmekCryptoKeyProjects limita le CryptoKey Cloud KMS da utilizzare per la protezione CMEK nelle istanze Cloud SQL for SQL Server. Con questo vincolo, quando Cloud SQL
crea una nuova istanza con CMEK, la CryptoKey deve provenire da un progetto, una cartella o un'organizzazione consentiti.
Questi vincoli vengono applicati solo alle istanze Cloud SQL per SQL Server create di recente.
Per ulteriori informazioni generali, consulta la sezione Policy dell'organizzazione CMEK. Per informazioni sui vincoli delle policy dell'organizzazione CMEK, consulta la pagina Vincoli delle policy dell'organizzazione.
Policy dell'organizzazione personalizzate
Per un controllo granulare e personalizzabile delle impostazioni, puoi creare vincoli personalizzati e utilizzarli in un criterio dell'organizzazione personalizzato. Puoi utilizzare i criteri dell'organizzazione personalizzati per migliorare la sicurezza, la conformità e la governance.
Per scoprire come creare criteri dell'organizzazione personalizzati, vedi Aggiungere criteri dell'organizzazione personalizzati. Puoi anche visualizzare un elenco dei campi supportati per i vincoli personalizzati.
Regole di applicazione dei criteri dell'organizzazione
Cloud SQL applica il criterio dell'organizzazione durante le seguenti operazioni:
- Creazione dell'istanza
- Creazione di repliche
- Riavvio dell'istanza
- Migrazione delle istanze
- Clonazione dell'istanza
Come tutti i vincoli dei criteri dell'organizzazione, le modifiche ai criteri non vengono applicate retroattivamente alle istanze esistenti.
- Un nuovo criterio non ha effetto sulle istanze esistenti.
- Una configurazione di istanza esistente rimane valida, a meno che un utente non modifichi la configurazione di istanza da uno stato di conformità a uno stato di non conformità utilizzando la console, gcloud CLI o RPC.
- Un aggiornamento della manutenzione pianificata non causa l'applicazione di una policy, perché la manutenzione non modifica la configurazione delle istanze.
Passaggi successivi
- Configurazione dei criteri dell'organizzazione.
- Scopri come funziona l'IP privato con Cloud SQL.
- Scopri come configurare l'IP privato per Cloud SQL.
- Scopri di più sul servizio criteri dell'organizzazione.
- Scopri di più sui vincoli delle policy dell'organizzazione.