このページは Cloud Translation API によって翻訳されました。

AlloyDB インスタンスで SSL 適用モードを構成する

このページでは、AlloyDB for PostgreSQL インスタンスで SSL 適用モードを構成する方法について説明します。

デフォルトでは、AlloyDB インスタンスは SSL を使用する接続のみを受け入れます。

AlloyDB は SSL を使用して、AlloyDB インスタンスへの認証済みで暗号化された安全な接続を確立します。さらに、構成可能な SSL 適用モードにより、インスタンスへのすべてのデータベース接続で SSL 暗号化が使用されます。

このトピックでは、既存のインスタンスで SSL 適用モードを構成する方法について説明します。インスタンスの作成時に SSL 適用モードを構成する方法については、プライマリインスタンスを作成するをご覧ください。

始める前に

使用している Google Cloud プロジェクトで AlloyDB へのアクセスが有効になっている必要があります。
使用している Google Cloud プロジェクトに、次のいずれかの IAM ロールが必要です。
- roles/alloydb.admin（AlloyDB 管理者の事前定義 IAM ロール）
- roles/owner（オーナーの基本 IAM ロール）
- roles/editor（編集者の基本 IAM ロール）
これらのロールを付与されていない場合は、組織管理者に連絡してアクセス権をリクエストしてください。

インスタンスで SSL 適用モードを構成する

gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。

Console

[クラスタ] ページに移動します。
クラスタに移動
[リソース名] 列でクラスタをクリックします。
[概要] ページで [クラスタ内のインスタンス] セクションに移動し、[プライマリを編集] をクリックします。
[プライマリインスタンスを編集] ペインで、[詳細設定オプション] を開きます。
[SSL 接続のみ許可] を有効にします。このオプションはデフォルトで有効になっています。
[Update instance] をクリックします。

gcloud

--ssl-mode=ENCRYPTED_ONLY 引数を指定して gcloud alloydb instances update コマンドを使用すると、AlloyDB インスタンスへの暗号化されたデータベース接続のみを許可できます。

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

次のように置き換えます。

INSTANCE_ID: 更新するインスタンスの ID。
REGION_ID: インスタンスが配置されるリージョン。
CLUSTER_ID: インスタンスが配置されているクラスタの ID。
PROJECT_ID: クラスタが配置されるプロジェクトの ID。

インスタンスへの暗号化されていないデータベース接続を許可するには、--ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED 引数を指定して gcloud alloydb instances update コマンドを使用します。

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

コマンドから「invalid cluster state MAINTENANCE」というフレーズを含むエラーメッセージが返された場合は、クラスタが定期メンテナンス中です。これにより、インスタンスの再構成が一時的に禁止されます。クラスタが READY 状態に戻ったら、コマンドをもう一度実行します。クラスタのステータスを確認するには、クラスタの詳細を表示するをご覧ください。