Configurare la modalità di applicazione forzata del protocollo SSL nelle istanze AlloyDB

Questa pagina mostra come configurare la modalità di applicazione SSL sulle istanze AlloyDB per PostgreSQL.

Per impostazione predefinita, un'istanza AlloyDB accetta solo connessioni che utilizzano SSL.

AlloyDB utilizza SSL per stabilire connessioni sicure, autenticate e criptate alle istanze AlloyDB. Inoltre, una modalità di applicazione SSL configurabile garantisce che tutte le connessioni al database a un'istanza utilizzino la crittografia SSL.

Questo argomento descrive come configurare la modalità di applicazione forzata di SSL su un'istanza esistente. Per informazioni su come configurare la modalità di applicazione SSL durante la creazione di un'istanza, consulta Crea un'istanza principale.

Prima di iniziare

  • Il Google Cloud progetto che utilizzi deve essere stato abilitato per accedere ad AlloyDB.
  • Devi disporre di uno di questi ruoli IAM nel progetto che stai utilizzando:
      Google Cloud
    • roles/alloydb.admin (il ruolo IAM predefinito AlloyDB Admin)
    • roles/owner (il ruolo IAM di base Proprietario)
    • roles/editor (il ruolo IAM di base Editor)

    Se non disponi di nessuno di questi ruoli, contatta l'Amministratore organizzazione per richiedere l'accesso.

Configura la modalità di applicazione forzata di SSL su un'istanza

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure puoi utilizzare Cloud Shell.

Console

  1. Vai alla pagina Cluster.

    Vai a Cluster

  2. Fai clic su un cluster nella colonna Nome risorsa.
  3. Nella pagina Panoramica, vai alla sezione Istanze nel cluster e fai clic su Modifica primaria.
  4. Nel riquadro Modifica istanza primaria, espandi Opzioni di configurazione avanzate.
  5. Attiva l'opzione Consenti solo connessioni SSL. Per impostazione predefinita, questa opzione è abilitata.
  6. Fai clic su Aggiorna istanza.

gcloud

Utilizza il comando gcloud alloydb instances update con l'argomento --ssl-mode=ENCRYPTED_ONLY per consentire solo connessioni di database criptate a un'istanza AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Sostituisci quanto segue:

  • INSTANCE_ID: l'ID dell'istanza che stai aggiornando.
  • REGION_ID: la regione in cui si trova l'istanza.
  • CLUSTER_ID: l'ID del cluster in cui viene inserita l'istanza.
  • PROJECT_ID: l'ID del progetto in cui si trova il cluster.

Per consentire connessioni di database non criptate a un'istanza, utilizza il comando gcloud alloydb instances update con l'argomento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se il comando restituisce un messaggio di errore che include la frase invalid cluster state MAINTENANCE, il cluster è in fase di manutenzione di routine. In questo modo, la riconfigurazione dell'istanza viene temporaneamente disattivata. Esegui nuovamente il comando dopo che il cluster torna allo stato READY. Per controllare lo stato del cluster, vedi Visualizzare i dettagli del cluster.