En esta página se explica cómo usar una política de organización con su proyecto de Cloud SQL. Para empezar a crear políticas de organización, consulte "Añadir políticas de organización" .
Descripción general
Las políticas de organización permiten a los administradores de la organización establecer restricciones sobre cómo los usuarios pueden configurar instancias en esa organización. Estas políticas utilizan reglas, llamadas restricciones, que el administrador de la organización aplica a un proyecto, carpeta u organización. Las restricciones aplican la política en todas las instancias. Si, por ejemplo, intenta crear una instancia en una entidad con una política de organización, la restricción realiza una comprobación para garantizar que la configuración de la instancia cumpla con los requisitos de la restricción. Si la comprobación falla, Cloud SQL no crea la instancia.
A medida que agrega proyectos a una organización o carpeta que utiliza una política de organización, los proyectos heredan las restricciones de esa política.
Para obtener más información sobre las políticas de la organización, consulte Servicio de políticas de la organización , Restricciones y Evaluación de jerarquía .
Los tipos de políticas de organización específicas de Cloud SQL son los siguientes:
Políticas organizativas predefinidas
Puede usar las restricciones predefinidas para controlar la configuración de IP pública y la clave de cifrado administrada por el cliente (CMEK) de las instancias de Cloud SQL. Para un control más detallado y personalizable sobre otras configuraciones compatibles, puede usar restricciones personalizadas. Para obtener más información, consulte las políticas de organización personalizadas .
Políticas de la organización de conexión
Las políticas de organización de conexión proporcionan un control centralizado de la configuración de IP pública de Cloud SQL para reducir la vulnerabilidad de seguridad de las instancias de Cloud SQL desde Internet. Un administrador de políticas de organización puede usar una política de conexión para restringir la configuración de IP pública de Cloud SQL a nivel de proyecto, carpeta u organización.
Restricciones de la política de la organización de conexión
Para la política de organización de conexión, existen dos tipos de restricciones predefinidas que refuerzan el acceso a las instancias de Cloud SQL. También existen políticas de organización personalizadas que se pueden usar para aplicarlas. Para obtener más información, consulte los ejemplos de ipConfiguration en el ejemplo de restricciones personalizadas .
| Restricción | Descripción | Comportamiento predeterminado |
|---|---|---|
| Restringir el acceso a IP públicas en instancias de Cloud SQL | Esta restricción booleana restringe la configuración de una IP pública en las instancias de Cloud SQL donde esta restricción se establece en True . Esta restricción no es retroactiva. Las instancias de Cloud SQL con acceso a una IP pública existente siguen funcionando incluso después de aplicar esta restricción.De forma predeterminada, se permite el acceso de IP pública a las instancias de Cloud SQL. constraints/sql.restrictPublicIp | Permitido |
| Restringir redes autorizadas en instancias de Cloud SQL | Cuando se establece en True , esta restricción booleana impide añadir redes autorizadas para el acceso a bases de datos sin proxy a las instancias de Cloud SQL. Esta restricción no es retroactiva. Las instancias de Cloud SQL con redes autorizadas existentes siguen funcionando incluso después de aplicar esta restricción.De forma predeterminada, puede agregar redes autorizadas a las instancias de Cloud SQL. constraints/sql.restrictAuthorizedNetworks | Permitido |
Restricciones para las políticas de la organización de conexión
Al establecer la política de la organización para cada proyecto, debe determinar si alguna de las siguientes opciones se aplica a su proyecto:
- Conflictos de IP públicas en réplicas de lectura
- Incompatibilidad al usar gcloud CLI sql connect
- Google Cloud acceso a servicios alojados
- Direcciones IP privadas que no son RFC 1918
Conflictos de direcciones IP públicas en réplicas de lectura
Las réplicas de lectura de Cloud SQL se conectan a la instancia principal mediante una conexión de base de datos sin proxy. Utilice la configuración de Redes Autorizadas de la instancia principal para configurar, explícita o implícitamente, las direcciones IP públicas de las réplicas de lectura.
Si las instancias principales y de réplica están dentro de la misma región y habilitan IP privada, no hay conflicto con las restricciones de la política de la organización de conexión.
Incompatibilidad al usar gcloud sql connect
El comando gcloud sql connect usa una dirección IP pública para conectarse directamente a las instancias de Cloud SQL. Por lo tanto, es incompatible con la restricción sql.restrictPublicIp . Esto suele ser un problema para las instancias que usan una IP privada.
Además, el comando gcloud sql connect no utiliza el proxy, lo que lo hace incompatible con la restricción sql.restrictAuthorizedNetworks .
En su lugar, utilice la versión beta del comando:
gcloud beta auth login
gcloud beta sql connect [INSTANCE_ID]
Esta versión utiliza el proxy de autenticación de Cloud SQL. Consulte gcloud beta sql connect para obtener información de referencia.
La primera vez que ejecute este comando, se le solicitará que instale el componente Cloud SQL Auth Proxy de gcloud CLI . Para ello, necesita tener permiso de escritura en el directorio de instalación del SDK de gcloud CLI en su equipo cliente.
Google Cloud acceso a servicios alojados
Si su aplicación requiere acceso a instancias de Cloud SQL desde otrasGoogle Cloud En servicios alojados, como App Engine, la aplicación debe usar direcciones IP públicas. No aplique la restricción sql.restrictPublicIp al proyecto. Sin embargo, puede aplicar sql.restrictAuthorizedNetworks , ya que las conexiones desde App Engine se realizan a través de la conexión segura (con proxy) .
Direcciones IP privadas que no son RFC 1918
Las conexiones a una instancia de Cloud SQL que usan una dirección IP privada se autorizan automáticamente para los rangos de direcciones RFC 1918. Esto permite que todos los clientes privados accedan a la base de datos sin pasar por el proxy. Debe configurar los rangos de direcciones que no cumplen con el RFC 1918 como redes autorizadas .
Para utilizar rangos de IP privados que no sean RFC 1918 y que no estén configurados en las redes autorizadas, puede realizar una o ambas de las siguientes acciones:
- No aplique
sql.restrictAuthorizedNetworks. Si las redes autorizadas también aplicansql.restrictPublicIp, no podrá configurarlas en la consola. En su lugar, use la API de Cloud SQL o la CLI de gcloud . - Utilice conexiones proxy para instancias de IP privadas.
Políticas de la organización de claves de cifrado administradas por el cliente (CMEK)
Cloud SQL admite dos restricciones de políticas de la organización que ayudan a garantizar la protección de CMEK en toda la organización: constraints/gcp.restrictNonCmekServices y constraints/gcp.restrictCmekCryptoKeyProjects .
La restricción constraints/gcp.restrictNonCmekServices requiere protección CMEK para sqladmin.googleapis.com . Al agregar esta restricción y sqladmin.googleapis.com a la lista de servicios de la política Deny , Cloud SQL no permite crear nuevas instancias a menos que tengan CMEK habilitada.
La restricción constraints/gcp.restrictCmekCryptoKeyProjects limita las claves criptográficas de Cloud KMS que se usarán para la protección de CMEK en instancias de Cloud SQL para PostgreSQL. Con esta restricción, cuando Cloud SQL crea una nueva instancia con CMEK, la clave criptográfica debe provenir de un proyecto, carpeta u organización permitidos.
Estas restricciones solo se aplican en instancias de Cloud SQL para PostgreSQL recién creadas.
Para obtener más información general, consulte las políticas de la organización de CMEK . Para obtener información sobre las restricciones de las políticas de la organización de CMEK, consulte Restricciones de las políticas de la organización .
Políticas de organización personalizadas
Para un control granular y personalizable de la configuración, puede crear restricciones personalizadas y usarlas en una política de organización personalizada. Puede usar políticas de organización personalizadas para mejorar la seguridad, el cumplimiento normativo y la gobernanza.
Para aprender a crear políticas de organización personalizadas, consulte Agregar políticas de organización personalizadas . También puede ver una lista de campos compatibles con restricciones personalizadas .
Reglas de cumplimiento de políticas de la organización
Cloud SQL aplica la política de la organización durante las siguientes operaciones:
- Creación de instancias
- Creación de réplicas
- Reinicio de instancia
- Migración de instancias
- Clon de instancia
Al igual que todas las restricciones de políticas de la organización , los cambios de políticas no se aplican retroactivamente a las instancias existentes.
- Una nueva política no tiene efecto en las instancias existentes.
- Una configuración de instancia existente sigue siendo válida, a menos que un usuario cambie la configuración de instancia de un estado de cumplimiento a un estado de incumplimiento mediante la consola, gcloud CLI o RPC.
- Una actualización de mantenimiento programada no genera la aplicación de una política, porque el mantenimiento no cambia la configuración de las instancias.
¿Qué sigue?
- Configuración de políticas de la organización .
- Obtenga información sobre cómo funciona la IP privada con Cloud SQL.
- Aprenda a configurar una IP privada para Cloud SQL.
- Conozca más sobre el servicio de políticas de la organización .
- Conozca las restricciones de la política de la organización .