Configurare la modalità di applicazione forzata del protocollo SSL nelle istanze AlloyDB

Questa pagina mostra come configurare la modalità di applicazione di SSL nelle istanze AlloyDB per PostgreSQL.

Per impostazione predefinita, un'istanza AlloyDB accetta solo le connessioni che utilizzano SSL.

AlloyDB utilizza SSL per stabilire connessioni sicure, autenticate e criptate alle istanze AlloyDB. Inoltre, una modalità di applicazione SSL configurabile garantisce che tutte le connessioni del database a un'istanza utilizzino la crittografia SSL.

Questo argomento spiega come configurare la modalità di applicazione forzata del protocollo SSL su un'istanza esistente. Per informazioni su come configurare la modalità di applicazione SSL quando crei un'istanza, consulta Creare un'istanza principale.

Prima di iniziare

  • Il progetto Google Cloud che utilizzi deve essere stato abilitato per accedere ad AlloyDB.
  • Devi disporre di uno di questi ruoli IAM nel progetto Google Cloud che utilizzi:
    • roles/alloydb.admin (il ruolo IAM predefinito AlloyDB Admin)
    • roles/owner (il ruolo IAM di base Proprietario)
    • roles/editor (il ruolo IAM di base Editor)

    Se non disponi di nessuno di questi ruoli, contatta l'amministratore dell'organizzazione per richiedere l'accesso.

Configurare la modalità di applicazione forzata del protocollo SSL su un'istanza

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure utilizzare Cloud Shell.

Console

  1. Vai alla pagina Cluster.

    Vai a Cluster

  2. Fai clic su un cluster nella colonna Nome risorsa.
  3. Nella pagina Panoramica, vai alla sezione Istanze nel cluster e fai clic su Modifica principale.
  4. Nel riquadro Modifica istanza principale, espandi Opzioni di configurazione avanzata.
  5. Attiva Consenti solo connessioni SSL. Per impostazione predefinita, questa opzione è attivata.
  6. Fai clic su Aggiorna istanza.

gcloud

Utilizza il comando gcloud alloydb instances update con l'argomento --ssl-mode=ENCRYPTED_ONLY per consentire solo connessioni al database criptate a un'istanza AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Sostituisci quanto segue:

  • INSTANCE_ID: l'ID dell'istanza che stai aggiornando.
  • REGION_ID: la regione in cui è posizionata l'istanza.
  • CLUSTER_ID: l'ID del cluster in cui è posizionata l'istanza.
  • PROJECT_ID: l'ID del progetto in cui è posizionato il cluster.

Per consentire connessioni non criptate al database di un'istanza, utilizza il comando gcloud alloydb instances update con l'argomento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se il comando restituisce un messaggio di errore che include la frase invalid cluster state MAINTENANCE, significa che il cluster è in fase di manutenzione di routine. In questo modo, la ricofigurazione dell'istanza non sarà consentita temporaneamente. Esegui nuovamente il comando quando il cluster torna allo stato READY. Per controllare lo stato del cluster, consulta Visualizzare i dettagli del cluster.