Configurar o modo de aplicação de SSL em instâncias do AlloyDB

Esta página mostra como configurar o modo de aplicação do SSL no AlloyDB para instâncias do PostgreSQL.

Por padrão, uma instância do AlloyDB aceita apenas conexões que usam SSL.

O AlloyDB usa SSL para estabelecer conexões seguras, autenticadas e criptografadas com instâncias do AlloyDB. Além disso, um modo de aplicação de SSL configurável garante que todas as conexões de banco de dados a uma instância usem criptografia SSL.

Este tópico aborda como configurar o modo de aplicação do SSL em uma instância. Para saber como configurar o modo de aplicação do SSL ao criar uma instância, consulte Criar uma instância principal.

Antes de começar

  • O projeto do Google Cloud que você está usando precisa ter sido ativado para acessar o AlloyDB.
  • É necessário ter uma destas funções do IAM no projeto do Google Cloud que você está usando:
    • roles/alloydb.admin (papel predefinido do IAM de administrador do AlloyDB)
    • roles/owner (o papel básico do IAM "Proprietário")
    • roles/editor (papel básico do IAM de editor)

    Se você não tiver nenhuma dessas funções, entre em contato com o administrador da organização para solicitar acesso.

Configurar o modo de aplicação de SSL em uma instância

Para usar a CLI gcloud, você pode instalar e inicializar a CLI do Google Cloud ou usar o Cloud Shell.

Console

  1. Acesse a página Clusters.

    Acessar Clusters

  2. Clique em um cluster na coluna Nome do recurso.
  3. Na página Visão geral, acesse a seção Instâncias no cluster e clique em Editar principal.
  4. No painel Editar instância principal, expanda Opções de configuração avançadas.
  5. Ative a opção Permitir somente conexões SSL. Essa opção fica ativada por padrão.
  6. Clique em Atualizar instância.

gcloud

Use o comando gcloud alloydb instances update com o argumento --ssl-mode=ENCRYPTED_ONLY para permitir apenas conexões de banco de dados criptografadas com uma instância do AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Substitua:

  • INSTANCE_ID: o ID da instância que você está atualizando.
  • REGION_ID: a região em que a instância é colocada.
  • CLUSTER_ID: o ID do cluster em que a instância está colocada.
  • PROJECT_ID: o ID do projeto em que o cluster está colocado.

Para permitir conexões de banco de dados não criptografadas em uma instância, use o comando gcloud alloydb instances update com o argumento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se o comando retornar uma mensagem de erro que inclua a frase invalid cluster state MAINTENANCE, o cluster está em manutenção de rotina. Isso impede temporariamente a reconfiguração da instância. Execute o comando novamente depois que o cluster retornar ao estado READY. Para verificar o status do cluster, consulte Conferir os detalhes do cluster.