Configurer le mode d'application du protocole SSL sur les instances AlloyDB

Cette page explique comment configurer le mode d'application SSL sur les instances AlloyDB pour PostgreSQL.

Par défaut, une instance AlloyDB n'accepte que les connexions utilisant SSL.

AlloyDB utilise SSL pour établir des connexions sécurisées, authentifiées et chiffrées vers les instances AlloyDB. De plus, un mode d'application SSL configurable garantit que toutes les connexions de base de données à une instance utilisent le chiffrement SSL.

Cet article explique comment configurer le mode d'application SSL sur une instance existante. Pour savoir comment configurer le mode d'application SSL lorsque vous créez une instance, consultez Créer une instance principale.

Avant de commencer

  • Le projet Google Cloud que vous utilisez doit avoir été activé pour accéder à AlloyDB.
  • Vous devez disposer de l'un des rôles IAM suivants dans le projet Google Cloud que vous utilisez :
    • roles/alloydb.admin (rôle IAM prédéfini "Administrateur AlloyDB")
    • roles/owner (rôle IAM de base "Propriétaire")
    • roles/editor (rôle IAM de base Éditeur)

    Si vous ne disposez d'aucun de ces rôles, contactez l'administrateur de votre organisation pour demander l'accès.

Configurer le mode d'application SSL sur une instance

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur un cluster dans la colonne Nom de la ressource.
  3. Sur la page Présentation, accédez à la section Instances de votre cluster, puis cliquez sur Modifier le nœud principal.
  4. Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
  5. Activez l'option Autoriser uniquement les connexions SSL. Cette option est activée par défaut.
  6. Cliquez sur Mettre à jour l'instance.

gcloud

Utilisez la commande gcloud alloydb instances update avec l'argument --ssl-mode=ENCRYPTED_ONLY pour autoriser uniquement les connexions de base de données chiffrées à une instance AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Remplacez les éléments suivants :

  • INSTANCE_ID : ID de l'instance que vous mettez à jour.
  • REGION_ID : région où se trouve l'instance.
  • CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
  • PROJECT_ID : ID du projet dans lequel le cluster est placé.

Pour autoriser les connexions non chiffrées à une instance, utilisez la commande gcloud alloydb instances update avec l'argument --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Si la commande renvoie un message d'erreur incluant l'expression invalid cluster state MAINTENANCE, cela signifie que le cluster fait l'objet d'une maintenance de routine. Cela empêche temporairement la reconfiguration de l'instance. Exécutez à nouveau la commande une fois que le cluster est revenu à l'état READY. Pour vérifier l'état du cluster, consultez Afficher les détails du cluster.