Usar uma autoridade certificadora (AC) gerenciada pelo cliente

Nesta página, descrevemos como usar a opção de autoridade certificadora (AC) gerenciada pelo cliente como o modo de AC do servidor para sua instância do Cloud SQL.

Visão geral

Com a opção de AC gerenciada pelo cliente, você configura seu próprio pool e AC no Certificate Authority Service (serviço de AC). Ao selecionar a opção de AC gerenciada pelo cliente, você configura a hierarquia de ACs e gerencia a rotação dos certificados de ACs para suas instâncias do Cloud SQL.

Antes de criar uma instância do Cloud SQL com a opção de AC gerenciada pelo cliente, crie um pool de ACs na mesma região da instância e pelo menos uma AC nesse pool usando o serviço de AC. A AC pode ser uma AC raiz ou uma AC subordinada. Você também pode criar uma AC subordinada no serviço de AC e encadeá-la a uma AC raiz externa. Ao criar a instância, você especifica o pool de ACs. Sua solicitação é delegada a uma conta de serviço específica do projeto, que tem permissão para usar o pool de ACs. A conta de serviço solicita uma AC do pool, e o Cloud SQL usa essa AC para assinar o certificado do servidor da instância.

Para o modo de AC do servidor da sua instância no Cloud SQL, é possível escolher entre as três opções a seguir:

• AC interna por instância
• AC compartilhada gerenciada pelo Google
• AC gerenciada pelo cliente

Você pode escolher a opção de AC gerenciada pelo cliente se precisar gerenciar sua própria AC por motivos de compliance. Para mais informações sobre como usar as outras opções, consulte Autorizar com certificados SSL/TLS.

Fluxo de trabalho

Para usar a opção de AC gerenciada pelo cliente, o fluxo de trabalho é o seguinte:

1. Crie uma conta de serviço para seu projeto do Cloud SQL.
2. Crie um pool de ACs no serviço de AC.
3. Crie uma AC no serviço de AC.
4. Crie uma instância do Cloud SQL que use a AC. Ao criar a instância, você delega à conta de serviço a permissão para assinar o certificado do servidor com o pool de ACs que criou.

Antes de começar

Antes de usar a opção de AC gerenciada pelo cliente, verifique se você atende aos requisitos a seguir.

Papéis exigidos

Para receber as permissões necessárias para criar uma conta de serviço específica do Cloud SQL, peça ao administrador para conceder a você o papel do IAM de Criador de contas de serviço (roles/iam.serviceAccountCreator) em cada projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Para receber as permissões necessárias para criar um pool e uma AC, peça ao administrador para conceder a você o papel do IAM de Gerente de operações do serviço de AC (roles/privateca.caManager) no serviço de AC. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.

Criar uma conta de serviço específica do projeto

No projeto em que você planeja criar as instâncias do Cloud SQL, crie uma conta de serviço dedicada que vai processar a solicitação para criar e assinar os certificados do servidor para as instâncias do Cloud SQL.

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Criar um pool de ACs

Crie um pool de ACs no serviço de AC.

É possível criar um pool de ACs no mesmo projeto em que você planeja criar as instâncias do Cloud SQL ou em um projeto diferente. No entanto, se você criar o pool de ACs em um projeto diferente, o VPC Service Controls poderá impedir a criação de instâncias do Cloud SQL, dependendo da política da organização. Para corrigir o problema, verifique se o projeto que hospeda o pool e a autoridade de certificação (AC) e o projeto que hospeda o Cloud SQL pertencem ao mesmo perímetro de serviço. Para mais informações, consulte Perímetros de serviço e Gerenciar perímetros de serviço.

Para criar um pool de ACs, siga as instruções em Criar um pool de ACs. É possível aceitar os valores padrão para o pool de ACs com as seguintes configurações obrigatórias:

• Crie o pool de ACs na mesma região em que você planeja criar a instância do Cloud SQL. Para uma lista de regiões compatíveis com o Cloud SQL, consulte Regiões.
• Permita solicitações de certificados com base em configuração.
• Permita nomes DNS em nomes alternativos do assunto (SANs). Ao configurar as restrições de identidade do pool de ACs, não defina restrições no formato dos nomes DNS que possam entrar em conflito com o que o Cloud SQL pode adicionar ao SAN.

Conceder à conta de serviço acesso ao pool de ACs

Para garantir que a conta de serviço tenha as permissões necessárias para solicitar e assinar certificados para suas instâncias do Cloud SQL, conceda o seguinte papel à conta de serviço para o pool de ACs que você criou:

• roles/privateca.certificateRequester

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Criar uma AC no pool de CAs

Crie pelo menos uma AC no pool que você criou.

É possível criar uma AC raiz ou subordinada.

Para criar uma AC raiz, siga as instruções em Criar uma AC raiz. É possível aceitar os valores padrão para a AC, mas crie a AC no estado Ativado.

Se você criar uma AC subordinada, primeiro crie e configure a AC raiz.

• Para criar uma AC subordinada no serviço de AC, siga as instruções em Criar uma AC subordinada.

• Para criar uma AC subordinada de uma AC raiz externa, siga as instruções em Criar uma AC subordinada de uma AC raiz externa.

Criar uma instância do Cloud SQL

Para criar uma instância do Cloud SQL que usa a opção de AC gerenciada pelo cliente, faça o seguinte:

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Resolver problemas