AlloyDB インスタンスで SSL 適用モードを構成する

このページでは、AlloyDB for PostgreSQL インスタンスで SSL 適用モードを構成する方法について説明します。

デフォルトでは、AlloyDB インスタンスは SSL を使用する接続のみを受け入れます。

AlloyDB は SSL を使用して、AlloyDB インスタンスへの認証済みで暗号化された安全な接続を確立します。さらに、構成可能な SSL 適用モードにより、インスタンスへのすべてのデータベース接続で SSL 暗号化が使用されます。

このトピックでは、既存のインスタンスで SSL 適用モードを構成する方法について説明します。インスタンスの作成時に SSL 適用モードを構成する方法については、プライマリ インスタンスを作成するをご覧ください。

始める前に

  • 使用している Google Cloud プロジェクトで AlloyDB へのアクセスが有効になっている必要があります。
  • 使用している Google Cloud プロジェクトに、次のいずれかの IAM ロールが必要です。
    • roles/alloydb.admin(AlloyDB 管理者の IAM 事前定義ロール)
    • roles/owner(オーナーの IAM 基本ロール)
    • roles/editor(編集者の IAM 基本ロール)

    これらのロールが付与されていない場合は、アクセス権を付与するよう組織管理者に依頼してください。

インスタンスで SSL 適用モードを構成する

gcloud CLI を使用するには、Google Cloud CLI をインストールして初期化するか、Cloud Shell を使用します。

コンソール

  1. [クラスタ] ページに移動します。

    [クラスタ] に移動

  2. [リソース名] 列でクラスタをクリックします。
  3. [概要] ページで [クラスタ内のインスタンス] セクションに移動し、[プライマリを編集] をクリックします。
  4. [プライマリ インスタンスを編集] ペインで、[高度な構成のオプション] を開きます。
  5. [SSL 接続のみ許可] を有効にします。このオプションはデフォルトで有効になっています。
  6. [インスタンスを更新] をクリックします。

gcloud

--ssl-mode=ENCRYPTED_ONLY 引数を指定して gcloud alloydb instances update コマンドを使用すると、AlloyDB インスタンスへの暗号化されたデータベース接続のみを許可できます。

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

次のように置き換えます。

  • INSTANCE_ID: 更新するインスタンスの ID。
  • REGION_ID: インスタンスが配置されるリージョン。
  • CLUSTER_ID: インスタンスが配置されているクラスタの ID。
  • PROJECT_ID: クラスタが配置されるプロジェクトの ID。

インスタンスへの暗号化されていないデータベース接続を許可するには、--ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED 引数を指定して gcloud alloydb instances update コマンドを使用します。

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

コマンドから「invalid cluster state MAINTENANCE」というフレーズを含むエラー メッセージが返された場合は、クラスタが定期メンテナンス中です。このため、インスタンスの再構成が一時的に禁止されます。クラスタが READY 状態に戻ったら、コマンドをもう一度実行してください。クラスタのステータスを確認するには、クラスタの詳細を表示するをご覧ください。