기본 제공 인증으로 사용자 관리

이 페이지에서는 Cloud SQL 기본 제공 인증을 사용 설정하고 사용하는 방법을 설명합니다.

개요는 Cloud SQL 기본 제공 데이터베이스 인증을 참조하세요.

사용자를 만들기 전에

  1. Cloud SQL 인스턴스를 만듭니다. 자세한 내용은 인스턴스 만들기를 참조하세요.
  2. 인스턴스의 비밀번호 정책을 사용 설정합니다. 자세한 내용은 인스턴스 비밀번호 정책을 참조하세요.
  3. 데이터베이스의 관리 클라이언트를 사용하여 사용자를 관리하려면 다음을 수행합니다.

    1. 클라이언트를 인스턴스에 연결합니다. 외부 애플리케이션 연결 옵션을 참조하세요.

    2. 비밀번호를 설정하여 인스턴스의 기본 사용자를 구성합니다. 기본 사용자 계정의 비밀번호 설정을 참조하세요.

기본 사용자 계정의 비밀번호 설정

새 Cloud SQL 인스턴스를 만들 때 인스턴스에 연결하기 전에 기본 사용자 계정의 비밀번호를 설정해야 합니다.

MySQL용 Cloud SQL의 경우 기본 사용자는 root@%입니다. 즉, 모든 호스트(@%)에서 연결할 수 있으며 사용자 이름이 root인 데이터베이스 사용자를 나타냅니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.
  4. root 사용자를 찾고 추가 작업 메뉴 추가 작업 아이콘에서 비밀번호 변경을 선택합니다.

    인스턴스에 설정된 비밀번호 정책에서 파생된 비밀번호에 대한 나열된 규정을 고려하세요.

  5. 기억할 수 있는 안전한 비밀번호를 지정하고 확인을 클릭합니다.

gcloud

다음과 같이 gcloud sql users set-password 명령어를 사용하여 기본 사용자의 비밀번호를 설정합니다.

명령어를 실행하기 전에 INSTANCE_NAME을 인스턴스 이름으로 바꿉니다.

gcloud sql users set-password root \
--host=% \
--instance=INSTANCE_NAME \
--prompt-for-password

REST v1

기본 사용자 계정의 비밀번호를 업데이트하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • password: 사용자의 비밀번호

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=root&host=%25

JSON 요청 본문:

{
  "name": "root",
  "password": "password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

기본 사용자 계정의 비밀번호를 업데이트하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • password: 사용자의 비밀번호

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=root&host=%25

JSON 요청 본문:

{
  "name": "root",
  "password": "password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

사용자 만들기

기본 사용자 계정을 설정한 후에 다른 사용자를 만들 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.
  4. 사용자 계정 추가를 클릭합니다.

    instance_name 인스턴스에 사용자 계정 추가 페이지에서 사용자가 기본 제공 데이터베이스 메서드(사용자 이름 및 비밀번호)를 사용하거나 IAM 사용자로 인증하는지 여부를 선택할 수 있습니다.

  5. 기본 제공 인증(기본값)을 선택하고 다음 정보를 추가합니다.
    • 사용자 이름
    • 선택사항. 비밀번호. 기억할 수 있는 안전한 비밀번호를 제공하세요.
    • 선택사항. 사용자 비밀번호 정책입니다.
    • 호스트 이름 섹션에서 기본값은 모든 호스트 허용입니다. 즉, 사용자가 모든 IP 주소로부터 연결할 수 있습니다. 필요한 경우 IP 주소 또는 주소 범위로 호스트 제한을 선택하고 호스트 섹션에서 IP 주소 또는 주소 범위를 입력합니다. 그러면 사용자가 지정된 IP 주소로만 연결할 수 있습니다.
  6. 추가를 클릭합니다.

MySQL 8.0 및 Cloud SQL의 인증 방법을 사용하여 인스턴스에서 생성된 사용자에게는 cloudsqlsuperuser 역할이 자동으로 부여되며 이 역할과 관련된 CREATEROLE, CREATEDB, LOGIN 권한을 가집니다.

MySQL 5.7 및 Cloud SQL의 인증 방식을 사용하여 인스턴스에서 생성된 사용자에게는 FILESUPER를 제외한 모든 권한이 자동으로 부여됩니다. 이러한 사용자 권한을 변경해야 할 경우 mysql 클라이언트에서 GRANT 또는 REVOKE 명령어를 사용합니다.

gcloud

사용자를 만들려면 gcloud sql users create 명령어를 사용합니다.

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • HOST: 특정 IP 주소, 주소 범위 또는 모든 호스트(%)와 같은 사용자 호스트 이름
  • INSTANCE_NAME: 인스턴스 이름
  • PASSWORD: 사용자의 비밀번호
gcloud sql users create USER_NAME \
--host=HOST \
--instance=INSTANCE_NAME \
--password=PASSWORD

MySQL 8.0 및 Cloud SQL의 인증 방법을 사용하여 인스턴스에서 생성된 사용자에게는 cloudsqlsuperuser 역할이 자동으로 부여되며 이 역할과 관련된 CREATEROLE, CREATEDB, LOGIN 권한을 가집니다.

MySQL 5.7 및 Cloud SQL의 인증 방식을 사용하여 인스턴스에서 생성된 사용자에게는 FILESUPER를 제외한 모든 권한이 자동으로 부여됩니다. 이러한 사용자 권한을 변경해야 할 경우 mysql 클라이언트에서 GRANT 또는 REVOKE 명령어를 사용합니다.

Cloud SQL의 사용자 이름 길이 제한은 온프레미스 MySQL과 동일합니다. MySQL 8.0은 32자(영문 기준), 이전 버전은 16자(영문 기준)입니다.

사용자를 만들 때 사용자 비밀번호 정책 매개변수를 추가할 수 있습니다.

Terraform

사용자를 만들려면 Terraform 리소스를 사용합니다.

resource "random_password" "pwd" {
  length  = 16
  special = false
}

resource "google_sql_user" "user" {
  name     = "user"
  instance = google_sql_database_instance.instance.name
  password = random_password.pwd.result
}

변경사항 적용

Google Cloud 프로젝트에 Terraform 구성을 적용하려면 다음 섹션의 단계를 완료하세요.

Cloud Shell 준비

  1. Cloud Shell을 실행합니다.
  2. Terraform 구성을 적용할 기본 Google Cloud 프로젝트를 설정합니다.

    이 명령어는 프로젝트당 한 번만 실행하면 되며 어떤 디렉터리에서도 실행할 수 있습니다.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Terraform 구성 파일에서 명시적 값을 설정하면 환경 변수가 재정의됩니다.

디렉터리 준비

각 Terraform 구성 파일에는 자체 디렉터리(루트 모듈이라고도 함)가 있어야 합니다.

  1. Cloud Shell에서 디렉터리를 만들고 해당 디렉터리 내에 새 파일을 만드세요. 파일 이름에는 .tf 확장자가 있어야 합니다(예: main.tf). 이 튜토리얼에서는 파일을 main.tf라고 합니다.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. 튜토리얼을 따라 하는 경우 각 섹션이나 단계에서 샘플 코드를 복사할 수 있습니다.

    샘플 코드를 새로 만든 main.tf에 복사합니다.

    필요한 경우 GitHub에서 코드를 복사합니다. 이는 Terraform 스니펫이 엔드 투 엔드 솔루션의 일부인 경우에 권장됩니다.

  3. 환경에 적용할 샘플 매개변수를 검토하고 수정합니다.
  4. 변경사항을 저장합니다.
  5. Terraform을 초기화합니다. 이 작업은 디렉터리당 한 번만 수행하면 됩니다.
    terraform init

    원하는 경우 최신 Google 공급업체 버전을 사용하려면 -upgrade 옵션을 포함합니다.

    terraform init -upgrade

변경사항 적용

  1. 구성을 검토하고 Terraform에서 만들거나 업데이트할 리소스가 예상과 일치하는지 확인합니다.
    terraform plan

    필요에 따라 구성을 수정합니다.

  2. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 Terraform 구성을 적용합니다.
    terraform apply

    Terraform에 '적용 완료' 메시지가 표시될 때까지 기다립니다.

  3. 결과를 보려면 Google Cloud 프로젝트를 엽니다. Google Cloud 콘솔에서 UI의 리소스로 이동하여 Terraform이 리소스를 만들었거나 업데이트했는지 확인합니다.

변경사항 삭제

변경사항을 삭제하려면 다음 단계를 따르세요.

  1. Terraform 구성 파일에서 삭제 보호를 사용 중지하려면 deletion_protection 인수를 false로 설정합니다.
    deletion_protection =  "false"
  2. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 업데이트된 Terraform 구성을 적용합니다.
    terraform apply
  1. 다음 명령어를 실행하고 프롬프트에 yes를 입력하여 이전에 Terraform 구성에 적용된 리소스를 삭제합니다.

    terraform destroy

REST v1

사용자를 만들려면 users:insert 메서드와 함께 POST 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • user-id: 사용자의 ID
  • password: 사용자의 비밀번호

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users

JSON 요청 본문:

{
  "name": "user-id",
  "password": "password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:44:16.656Z",
  "startTime": "2020-02-07T22:44:16.686Z",
  "endTime": "2020-02-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

MySQL 8.0 및 Cloud SQL의 인증 방법을 사용하여 인스턴스에서 생성된 사용자에게는 cloudsqlsuperuser 역할이 자동으로 부여되며 이 역할과 관련된 CREATEROLE, CREATEDB, LOGIN 권한을 가집니다.

MySQL 5.7 및 Cloud SQL의 인증 방식을 사용하여 인스턴스에서 생성된 사용자에게는 FILESUPER를 제외한 모든 권한이 자동으로 부여됩니다. 이러한 사용자 권한을 변경해야 할 경우 mysql 클라이언트에서 GRANT 또는 REVOKE 명령어를 사용합니다.

Cloud SQL의 사용자 이름 길이 제한은 온프레미스 MySQL과 동일합니다. MySQL 8.0은 32자(영문 기준), 이전 버전은 16자(영문 기준)입니다.

사용자를 만들 때 사용자 비밀번호 정책 매개변수를 추가할 수 있습니다.

REST v1beta4

사용자를 만들려면 users:insert 메서드와 함께 POST 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • user-id: 사용자의 ID
  • password: 사용자의 비밀번호

HTTP 메서드 및 URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users

JSON 요청 본문:

{
  "name": "user-id",
  "password": "password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:44:16.656Z",
  "startTime": "2020-02-07T22:44:16.686Z",
  "endTime": "2020-02-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

MySQL 8.0 및 Cloud SQL의 인증 방법을 사용하여 인스턴스에서 생성된 사용자에게는 cloudsqlsuperuser 역할이 자동으로 부여되며 이 역할과 관련된 CREATEROLE, CREATEDB, LOGIN 권한을 가집니다.

MySQL 5.7 및 Cloud SQL의 인증 방식을 사용하여 인스턴스에서 생성된 사용자에게는 FILESUPER를 제외한 모든 권한이 자동으로 부여됩니다. 이러한 사용자 권한을 변경해야 할 경우 mysql 클라이언트에서 GRANT 또는 REVOKE 명령어를 사용합니다.

Cloud SQL의 사용자 이름 길이 제한은 온프레미스 MySQL과 동일합니다. MySQL 8.0은 32자(영문 기준), 이전 버전은 16자(영문 기준)입니다.

사용자를 만들 때 사용자 비밀번호 정책 매개변수를 추가할 수 있습니다.

mysql 클라이언트

  1. T사용자를 만들려면 mysql 프롬프트에서 다음 CREATE USER 문을 사용합니다.
      CREATE USER 'USER_NAME'@'%'
         IDENTIFIED BY 'PASSWORD';
      

    필요한 경우 사용자 비밀번호 정책 매개변수를 추가하세요.

  2. 사용자 테이블을 표시하여 사용자 만들기를 확인할 수 있습니다.
    SELECT user, host FROM mysql.user;
    
    2세대 인스턴스의 경우 출력이 이 예시와 유사하게 나타납니다.
    +----------+-----------+
    | user     | host      |
    +----------+-----------+
    | root     | %         |
    | newuser  | %         |
    +----------+-----------+
    1 row in set (0.01 sec)
    
  3. GRANT 문으로 사용자에게 권한을 부여합니다. 자세한 내용은 MySQL에서 제공하는 권한을 참조하세요.
  4. 변경사항이 유지되도록 mysql.user 테이블을 삭제합니다.
      FLUSH TABLES mysql.user;
    

사용자 비밀번호 정책 설정

기본 제공 인증 유형을 사용하여 비밀번호 정책을 설정할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.
  4. 정책을 변경하려는 사용자에 대하여 추가 작업(추가 작업 아이콘)을 클릭합니다.
  5. 비밀번호 정책 수정을 선택합니다.
  6. 비밀번호 정책 섹션에서 다음 옵션 중 하나 이상을 선택합니다.
    • 비밀번호 만료 설정: 비밀번호가 만료되고 새 비밀번호를 만들어야 하는 일수를 지정합니다.
    • 실패한 시도 후 잠금: 계정이 잠기기 전에 사용자가 비밀번호를 잘못 시도할 수 있는 횟수를 지정합니다.

      MySQL용 Cloud SQL 8.0에서만 지원됩니다.

    • 비밀번호 변경 시 현재 비밀번호 입력 요구: 사용자가 비밀번호를 변경하려고 할 때 기존 비밀번호를 입력하도록 요구합니다.

gcloud

사용자 비밀번호 정책을 설정하려면 gcloud sql users set-password-policy 명령어를 사용합니다.

사용자가 비밀번호를 변경하려고 할 때 기존 비밀번호를 입력해야 하도록 하려면 --password-policy-enable-password-verification을 사용하세요. 이 매개변수를 사용 중지하려면 --no-password-policy-enable-password-verification을 사용하세요.

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • INSTANCE_NAME: 인스턴스 이름
  • HOST: 특정 IP 주소, 주소 범위 또는 모든 호스트(%)와 같은 사용자 호스트 이름
  • PASSWORD_POLICY_ALLOWED_FAILED_ATTEMPTS: 선택사항: 사용자가 지정한 횟수만큼 비밀번호를 잘못 입력하면 계정이 잠기게 됩니다. --password-policy-enable-failed-attempts-check를 사용하여 확인을 사용 설정하고 --no-password-policy-enable-failed-attempts-check를 사용하여 확인을 사용 중지합니다.
  • PASSWORD_POLICY_PASSWORD_EXPIRATION_DURATION: 선택사항: 비밀번호가 만료되고 사용자가 새 비밀번호를 만들어야 하는 일수
gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--password-policy-enable-failed-attempts-check \
--password-policy-allowed-failed-attempts=PASSWORD_POLICY_ALLOWED_FAILED_ATTEMPTS \
--password-policy-password-expiration-duration=PASSWORD_POLICY_PASSWORD_EXPIRATION_DURATION \
--password-policy-enable-password-verification

사용자 비밀번호 정책을 삭제하려면 --clear-password-policy 매개변수를 사용합니다.

gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--clear-password-policy

사용자 비밀번호 정책을 보려면 사용자 나열을 참조하세요.

REST v1

사용자 비밀번호 정책을 설정하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 인스턴스 ID
  • USER_ID: 사용자의 ID
  • PASSWORD: 사용자의 비밀번호
  • FAILED_ATTEMPTS_CHECK: true로 설정하면 계정이 잠긴 후 실패한 로그인 시도 횟수를 확인할 수 있음
  • NUMBER_OF_ATTEMPTS: 계정 잠금 후 실패한 로그인 횟수
  • PASSWORD_EXPIRATION_DURATION: 비밀번호가 만료되고 사용자가 새 비밀번호를 만들어야 하는 기간(일)
  • VERIFY_PASSWORD: 사용자가 비밀번호를 변경하려고 할 때 기존 비밀번호를 입력해야 하도록 하려면 true로 설정

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

JSON 요청 본문:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {
      {
        "enableFailedAttemptsCheck" : "FAILED_ATTEMPTS_CHECK",
        "allowedFailedAttempts" : "NUMBER_OF_ATTEMPTS",
        "passwordExpirationDuration" : "PASSWORD_EXPIRATION_DURATION",
        "enablePasswordVerification" : "VERIFY_PASSWORD"
      }
    },
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

사용자 비밀번호 정책을 보려면 사용자 나열을 참조하세요.

REST v1beta4

사용자 비밀번호 정책을 설정하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 인스턴스 ID
  • USER_ID: 사용자의 ID
  • PASSWORD: 사용자의 비밀번호
  • FAILED_ATTEMPTS_CHECK: true로 설정하면 계정이 잠긴 후 실패한 로그인 시도 횟수를 확인할 수 있음
  • NUMBER_OF_ATTEMPTS: 계정 잠금 후 실패한 로그인 횟수
  • PASSWORD_EXPIRATION_DURATION: 비밀번호가 만료되고 사용자가 새 비밀번호를 만들어야 하는 기간(일)
  • VERIFY_PASSWORD: 사용자가 비밀번호를 변경하려고 할 때 기존 비밀번호를 입력해야 하도록 하려면 true로 설정

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

JSON 요청 본문:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {
      {
        "enableFailedAttemptsCheck" : "FAILED_ATTEMPTS_CHECK",
        "allowedFailedAttempts" : "NUMBER_OF_ATTEMPTS",
        "passwordExpirationDuration" : "PASSWORD_EXPIRATION_DURATION",
        "enablePasswordVerification" : "VERIFY_PASSWORD"
      }
    },
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

사용자 비밀번호 정책을 보려면 사용자 나열을 참조하세요.

mysql 클라이언트

사용자 비밀번호 정책을 설정하려면 mysql 프롬프트에서 다음 ALTER USER 문을 사용합니다.

ALTER USER USER_NAME
    FAILED_LOGIN_ATTEMPTS ALLOWED_FAILED_ATTEMPTS
    PASSWORD EXPIRE INTERVAL PASSWORD_EXPIRATION_DURATION DAY
    PASSWORD REQUIRE CURRENT;

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • ALLOWED_FAILED_ATTEMPTS: 선택사항: 사용자가 지정한 횟수만큼 비밀번호를 잘못 입력하면 계정이 잠기게 됩니다.
  • PASSWORD_EXPIRATION_DURATION: 선택사항: 비밀번호가 만료되고 사용자가 새 비밀번호를 만들어야 하는 일수

사용자가 비밀번호를 변경하려고 할 때 기존 비밀번호를 입력해야 하도록 하려면 PASSWORD REQUIRE CURRENT 옵션을 사용하세요.

사용자 비밀번호 정책을 보려면 사용자 나열을 참조하세요.

사용자 나열

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.

    이 목록에는 각 사용자의 User name, Host name, Authentication 유형이 표시됩니다.

    또한 기본 제공되는 인증 유형의 경우 Password status도 표시됩니다.

gcloud

gcloud sql users list 명령어를 사용하여 이 인스턴스의 사용자를 나열합니다.

gcloud sql users list \
--instance=INSTANCE_NAME

이 명령어는 각 사용자의 Name, Host, 인증 Type을 반환합니다.

또한 기본 제공되는 인증 유형의 경우 비밀번호 정책 설정과 상태가 반환됩니다. 예를 들면 다음과 같습니다.

    NAME    HOST    TYPE        PASSWORD_POLICY
    user1           BUILT_IN    {'allowedFailedAttempts': 2,
                                 'enableFailedAttemptsCheck': True,
                                 'passwordExpirationDuration': '7d',
                                 'status': {
                                   'locked': True,
                                   'passwordExpirationTime': '2022-07-01T19:53:45.822742904Z'
                                 }
                                }
   

REST v1

인스턴스에 정의된 사용자를 나열하려면 users:list 메서드로 GET 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#usersList",
  "items": [
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "sqlserver",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-1",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-2",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      ...
    },
    {
      ...
    }
  ]
}

사용자 비밀번호 정책이 설정된 경우 응답의 items 섹션에 passwordPolicy 섹션이 포함됩니다. 다음 코드 샘플은 passwordPolicy 섹션을 보여줍니다.

  {
  ...
  "passwordValidationUserPolicy" : {
    {
      "enableFailedAttemptsCheck" : true,
      "allowedFailedAttempts" : 8,
      "passwordExpirationDuration" : "7d",
      "enablePasswordVerification" : true
    }
  },
  ...
}
  

REST v1beta4

인스턴스에 정의된 사용자를 나열하려면 users:list 메서드로 GET 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID

HTTP 메서드 및 URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#usersList",
  "items": [
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "sqlserver",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-1",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-2",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      ...
    },
    {
      ...
    }
  ]
}

사용자 비밀번호 정책이 설정된 경우 응답의 items 섹션에 passwordPolicy 섹션이 포함됩니다. 다음 코드 샘플은 passwordPolicy 섹션을 보여줍니다.

  {
  ...
  "passwordValidationUserPolicy" : {
    {
      "enableFailedAttemptsCheck" : true,
      "allowedFailedAttempts" : 8,
      "passwordExpirationDuration" : "7d",
      "enablePasswordVerification" : true
    }
  },
  ...
}
  

mysql 클라이언트

MySQL 사용자를 나열하려면 mysql 프롬프트에서 다음 SELECT 문을 사용합니다.

SELECT user, host FROM mysql.user;

root 사용자 계정만 구성된 2세대 인스턴스의 경우 출력이 이 예시와 유사하게 나타납니다.

+------+-----------+
| user | host      |
+------+-----------+
| root | %         |
+------+-----------+
1 row in set (0.01 sec)

이 예시에서는 root 사용자가 있는 인스턴스의 사용자를 보여줍니다. 이 사용자는 모든 호스트(%)에서 연결할 수 있습니다. 비밀번호 필드는 비밀번호의 해시를 보여줍니다.

사용자 비밀번호 변경

사용자 비밀번호는 다음 방법 중 하나로 변경할 수 있습니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.
  4. 업데이트할 사용자에 대한 추가 작업(추가 작업 아이콘)을 클릭합니다.
  5. 비밀번호 변경을 선택합니다.
  6. 새 비밀번호를 지정합니다.

    또한 이전 비밀번호를 계속 사용하려면 현재 비밀번호 유지 체크박스를 선택합니다.

  7. 확인을 클릭합니다.

gcloud

gcloud sql users set-password 명령어를 사용하여 비밀번호를 변경합니다.

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • HOST: 특정 IP 주소, 주소 범위 또는 모든 호스트(%)와 같은 사용자 호스트 이름
  • INSTANCE_NAME: 인스턴스 이름
  • PASSWORD: 비밀번호. 설정된 경우 비밀번호 정책의 요구사항을 충족해야 합니다.

선택적으로 MySQL 8.0의 경우 --retain-password 옵션을 사용해서 사용자가 이전 비밀번호를 계속 사용하도록 허용할 수 있습니다. 이전 비밀번호를 삭제하려면 --discard-dual-password 옵션을 사용합니다.

gcloud sql users set-password USER_NAME \
--host=HOST \
--instance=INSTANCE_NAME \
--password=PASSWORD

REST v1

사용자 비밀번호를 변경하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

다음 요청은 사용자 계정 user_name'@'%의 비밀번호를 업데이트합니다. 사용자의 호스트가 다를 경우 호출을 올바른 호스트로 수정해야 합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • user-id: 사용자의 ID
  • password: 사용자의 비밀번호
  • dual-password: 다음 열거형 값 중 하나
    • DUAL_PASSWORD: 사용자가 이전 비밀번호를 계속 사용할 수 있습니다.
    • NO_DUAL_PASSWORD: 사용자가 이전 비밀번호를 사용할 수 없습니다.
    • NO_MODIFY_DUAL_PASSWORD: 이중 비밀번호 상태는 변경되지 않습니다.

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id

JSON 요청 본문:

{
  "name": "user-id",
  "password": "password",
  "retainedPassword" : "dual-password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

사용자 비밀번호를 변경하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

다음 요청은 사용자 계정 user_name'@'%의 비밀번호를 업데이트합니다. 사용자의 호스트가 다를 경우 호출을 올바른 호스트로 수정해야 합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • project-id: 프로젝트 ID
  • instance-id: 원하는 인스턴스 ID
  • user-id: 사용자의 ID
  • password: 사용자의 비밀번호
  • dual-password: 다음 열거형 값 중 하나
    • DUAL_PASSWORD: 사용자가 이전 비밀번호를 계속 사용할 수 있습니다.
    • NO_DUAL_PASSWORD: 사용자가 이전 비밀번호를 사용할 수 없습니다.
    • NO_MODIFY_DUAL_PASSWORD: 이중 비밀번호 상태는 변경되지 않습니다.

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id

JSON 요청 본문:

{
  "name": "user-id",
  "password": "password",
  "retainedPassword" : "dual-password"
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

mysql 클라이언트

  1. 비밀번호를 변경하려면 mysql 프롬프트에서 다음 SET PASSWORD 문을 사용합니다.
    SET PASSWORD FOR USER_NAME = PASSWORD('auth_string');
    
  2. 변경사항이 유지되도록 mysql.user 테이블을 삭제합니다.
    FLUSH TABLES mysql.user;
    

비밀번호 정책 설정으로 인해 사용자가 잠긴 경우 비밀번호를 변경하여 사용자를 잠금 해제합니다. 비밀번호가 변경된 경우 비밀번호 정책을 준수하는지 확인합니다.

사용자 비밀번호 정책 삭제

기본 제공 인증 유형이 있는 사용자로부터 비밀번호 정책을 삭제할 수 있습니다.

gcloud

사용자 비밀번호 정책을 삭제하려면 gcloud sql users set-password-policy 명령어와 --clear-password-policy 매개변수를 사용합니다.

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • INSTANCE_NAME: 인스턴스 이름
  • HOST: 특정 IP 주소, 주소 범위 또는 모든 호스트(%)와 같은 사용자 호스트 이름
gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--clear-password-policy

REST v1

사용자 비밀번호 정책을 삭제하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 인스턴스 ID
  • USER_ID: 사용자의 ID
  • PASSWORD: 사용자의 비밀번호

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

JSON 요청 본문:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {}
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

REST v1beta4

사용자 비밀번호 정책을 삭제하려면 users:update 메서드와 함께 PUT 요청을 사용합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 인스턴스 ID
  • USER_ID: 사용자의 ID
  • PASSWORD: 사용자의 비밀번호

HTTP 메서드 및 URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

JSON 요청 본문:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {}
  }
}

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

사용자 삭제하기

기본 사용자는 사용자를 삭제할 수 있습니다.

사용자를 삭제하기 전에 이 사용자가 가지고 있는 모든 객체를 삭제하거나 소유권을 다시 할당하고 다른 객체에 대해 부여받은 역할을 취소해야 합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud SQL 인스턴스 페이지로 이동합니다.

    Cloud SQL 인스턴스로 이동

  2. 인스턴스의 개요 페이지를 열려면 인스턴스 이름을 클릭합니다.
  3. SQL 탐색 메뉴에서 사용자를 선택합니다.
  4. 삭제할 사용자에 대하여 추가 작업(추가 작업 아이콘)을 클릭합니다.
  5. 삭제를 선택한 후 삭제를 다시 선택합니다.

gcloud

사용자를 삭제하려면 gcloud sql users delete 명령어를 사용합니다.

다음을 바꿉니다.

  • USER_NAME: 사용자 이름
  • HOST: 특정 IP 주소, 주소 범위 또는 모든 호스트(%)와 같은 사용자 호스트 이름
  • INSTANCE_NAME: 인스턴스 이름
gcloud sql users delete USER_NAME \
--host=HOST \
--instance=INSTANCE_NAME

REST v1

아래 요청은 users:delete 메서드를 사용하여 지정된 사용자 계정을 삭제합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 원하는 인스턴스 ID
  • USERNAME: 사용자 또는 서비스 계정의 이메일 주소

HTTP 메서드 및 URL:

DELETE https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "DELETE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

아래 요청은 users:delete 메서드를 사용하여 지정된 사용자 계정을 삭제합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 ID
  • INSTANCE_ID: 원하는 인스턴스 ID
  • USERNAME: 사용자 또는 서비스 계정의 이메일 주소

HTTP 메서드 및 URL:

DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

다음과 비슷한 JSON 응답이 표시됩니다.

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "DELETE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

mysql 클라이언트

  1. 사용자를 삭제하려면 mysql 프롬프트에서 다음 DROP USER 문을 사용합니다.
    DROP USER 'USER_NAME'@'HOST_NAME';
    
  2. 변경사항이 유지되도록 mysql.user 테이블을 삭제합니다.
    FLUSH TABLES mysql.user;
    

사용자 속성 업데이트

호스트 또는 권한 등의 사용자 속성을 업데이트하려면 mysql 클라이언트를 사용해야 합니다. 자세한 내용은 MySQL 문서의 MySQL 사용자 계정 관리를 참조하세요.

다음 단계