Configurer le mode d'application du protocole SSL sur les instances AlloyDB

Cette page explique comment configurer le mode d'application du protocole SSL sur les instances AlloyDB pour PostgreSQL.

Par défaut, une instance AlloyDB n'accepte que les connexions utilisant SSL.

AlloyDB utilise SSL pour établir des connexions sécurisées, authentifiées et chiffrées vers les instances AlloyDB. De plus, un mode d'application du protocole SSL configurable garantit que toutes les connexions de base de données à une instance utilisent le chiffrement SSL.

Cet article explique comment configurer le mode d'application du protocole SSL sur une instance existante. Pour savoir comment configurer le mode d'application du protocole SSL lorsque vous créez une instance, consultez la section Créer une instance principale.

Avant de commencer

  • Le projet Google Cloud que vous utilisez doit avoir été autorisé à accéder à AlloyDB.
  • Vous devez disposer de l'un des rôles IAM suivants dans le projet Google Cloud que vous utilisez :
    • roles/alloydb.admin (rôle IAM prédéfini "AlloyDB Admin")
    • roles/owner (rôle IAM de base Propriétaire)
    • roles/editor (rôle IAM de base Éditeur)

    Si vous ne disposez d'aucun de ces rôles, contactez l'administrateur de votre organisation pour demander l'accès.

Configurer le mode d'application du protocole SSL sur une instance

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI ou utiliser Cloud Shell.

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur un cluster dans la colonne Nom de la ressource.
  3. Sur la page Présentation, accédez à la section Instances de votre cluster, puis cliquez sur Modifier l'instance principale.
  4. Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
  5. Activez l'option Autoriser uniquement les connexions SSL. Cette option est activée par défaut.
  6. Cliquez sur Mettre à jour l'instance.

gcloud

Utilisez la commande gcloud alloydb instances update avec l'argument --ssl-mode=ENCRYPTED_ONLY pour n'autoriser que les connexions de base de données chiffrées à une instance AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Remplacez les éléments suivants :

  • INSTANCE_ID: ID de l'instance que vous mettez à jour.
  • REGION_ID: région où se trouve l'instance.
  • CLUSTER_ID: ID du cluster dans lequel se trouve l'instance.
  • PROJECT_ID: ID du projet dans lequel le cluster est placé.

Pour autoriser les connexions de base de données non chiffrées à une instance, utilisez la commande gcloud alloydb instances update avec l'argument --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Si la commande renvoie un message d'erreur incluant la phrase invalid cluster state MAINTENANCE, cela signifie que le cluster est en cours de maintenance de routine. Cela interdit temporairement la reconfiguration de l'instance. Exécutez à nouveau la commande une fois que le cluster est de nouveau dans l'état READY. Pour vérifier l'état du cluster, consultez Afficher les détails du cluster.