Login menggunakan autentikasi database IAM

Halaman ini menjelaskan cara pengguna dan akun layanan dapat login ke database Cloud SQL menggunakan autentikasi database IAM Cloud SQL. Untuk mengetahui informasi lebih lanjut, lihat autentikasi IAM.

Sebelum memulai

Login dengan autentikasi database IAM otomatis

Anda dapat mengonfigurasi konektor Cloud SQL agar secara otomatis menangani autentikasi ke instance Cloud SQL atas nama pengguna atau aplikasi. Konektor mencakup Proxy Auth Cloud SQL, konektor Go, konektor Java, dan konektor Python, yang semuanya mendukung autentikasi database IAM otomatis. Saat menggunakan konektor Cloud SQL dengan autentikasi database IAM otomatis, akun IAM yang Anda gunakan untuk memulai konektor harus akun yang sama saat mengautentikasi database.

Untuk login menggunakan autentikasi database IAM otomatis:

Proxy Auth Cloud SQL

  1. Lakukan autentikasi ke Google Cloud.

    User

    Melakukan autentikasi ke Google Cloud menggunakan Kredensial Default Aplikasi (ADC).

    Gunakan perintah gcloud auth application-default login. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Kredensial Default Aplikasi.

    Service account

    Untuk melakukan autentikasi ke Google Cloud menggunakan ADC dengan akun layanan, Anda dapat menggunakan peniruan akun layanan atau menyiapkan kunci akun layanan. Jika Anda ingin melakukan autentikasi dengan peniruan akun layanan, ganti SERVICE_ACCOUNT_EMAIL_ADDRESS, dan jalankan perintah berikut:

    gcloud auth application-default login --impersonate-service-account SERVICE_ACCOUNT_EMAIL_ADDRESS

    Untuk mengetahui informasi selengkapnya, lihat Menyiapkan Kredensial Default Aplikasi.

  2. Memulai Proxy Auth Cloud SQL dengan flag --auto-iam-authn Ganti INSTANCE_CONNECTION_NAME dengan string koneksi yang digunakan untuk mengidentifikasi instance Cloud SQL. Jika Anda menggunakan port selain port MySQL default, tentukan nomor port-nya. Untuk mengetahui informasi lebih lanjut mengenai cara menemukan dan membuat string ini, baca bagian Opsi untuk mengautentikasi Proxy Auth Cloud SQL.

    ./cloud-sql-proxy --auto-iam-authn INSTANCE_CONNECTION_NAME

    Untuk mengetahui informasi selengkapnya tentang cara memulai proxy, lihat Memulai Proxy Auth Cloud SQL.

  3. Setelah Anda siap untuk terhubung ke instance dengan menggunakan Proxy Auth Cloud SQL, login dengan klien mysql. Ganti kode berikut:

    • HOSTNAME: Alamat IP yang digunakan oleh Auth Proxy Cloud SQL. Secara default, Proxy Auth Cloud SQL menggunakan alamat localhost 127.0.0.1, tetapi Anda dapat menetapkan alamat IP yang berbeda saat memulai Proxy Auth Cloud SQL.
    • USERNAME: Untuk akun pengguna IAM, ini adalah alamat email pengguna, tanpa simbol @ atau nama domain. Misalnya, untuk test-user@example.com, masukkan test-user. Untuk akun layanan, ini adalah alamat email akun layanan tanpa akhiran @project-id.iam.gserviceaccount.com.
    • PORT_NUMBER: Opsional. Jika Anda menentukan port yang berbeda dalam string koneksi instance, tentukan nomor port tersebut.

    Jalankan perintah berikut:

    mysql --host=HOSTNAME \
    --user=USERNAME \
    --port=PORT_NUMBER

    Untuk mengetahui informasi selengkapnya tentang cara terhubung ke Proxy Auth Cloud SQL, lihat Menghubungkan dengan klien mysql.

Go

import (
	"context"
	"database/sql"
	"fmt"
	"log"
	"net"
	"os"

	"cloud.google.com/go/cloudsqlconn"
	"github.com/go-sql-driver/mysql"
)

func connectWithConnectorIAMAuthN() (*sql.DB, error) {
	mustGetenv := func(k string) string {
		v := os.Getenv(k)
		if v == "" {
			log.Fatalf("Warning: %s environment variable not set.", k)
		}
		return v
	}
	// Note: Saving credentials in environment variables is convenient, but not
	// secure - consider a more secure solution such as
	// Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
	// keep secrets safe.
	var (
		dbUser                 = mustGetenv("DB_IAM_USER")              // e.g. 'service-account-name'
		dbName                 = mustGetenv("DB_NAME")                  // e.g. 'my-database'
		instanceConnectionName = mustGetenv("INSTANCE_CONNECTION_NAME") // e.g. 'project:region:instance'
		usePrivate             = os.Getenv("PRIVATE_IP")
	)

	d, err := cloudsqlconn.NewDialer(context.Background(), cloudsqlconn.WithIAMAuthN())
	if err != nil {
		return nil, fmt.Errorf("cloudsqlconn.NewDialer: %w", err)
	}
	var opts []cloudsqlconn.DialOption
	if usePrivate != "" {
		opts = append(opts, cloudsqlconn.WithPrivateIP())
	}
	mysql.RegisterDialContext("cloudsqlconn",
		func(ctx context.Context, addr string) (net.Conn, error) {
			return d.Dial(ctx, instanceConnectionName, opts...)
		})

	dbURI := fmt.Sprintf("%s:empty@cloudsqlconn(localhost:3306)/%s?parseTime=true",
		dbUser, dbName)

	dbPool, err := sql.Open("mysql", dbURI)
	if err != nil {
		return nil, fmt.Errorf("sql.Open: %w", err)
	}
	return dbPool, nil
}

JDBC Java

import com.zaxxer.hikari.HikariConfig;
import com.zaxxer.hikari.HikariDataSource;
import javax.sql.DataSource;

public class ConnectorIamAuthnConnectionPoolFactory extends ConnectionPoolFactory {

  // Note: Saving credentials in environment variables is convenient, but not
  // secure - consider a more secure solution such as
  // Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
  // keep secrets safe.
  private static final String INSTANCE_CONNECTION_NAME =
      System.getenv("INSTANCE_CONNECTION_NAME");
  private static final String INSTANCE_UNIX_SOCKET = System.getenv("INSTANCE_UNIX_SOCKET");
  private static final String DB_IAM_USER = System.getenv("DB_IAM_USER");
  private static final String DB_NAME = System.getenv("DB_NAME");

  public static DataSource createConnectionPool() {
    // The configuration object specifies behaviors for the connection pool.
    HikariConfig config = new HikariConfig();

    // The following URL is equivalent to setting the config options below:
    // jdbc:mysql:///<DB_NAME>?cloudSqlInstance=<INSTANCE_CONNECTION_NAME>&
    // socketFactory=com.google.cloud.sql.mysql.SocketFactory&user=<DB_USER>&password=<DB_PASS>
    // See the link below for more info on building a JDBC URL for the Cloud SQL JDBC Socket Factory
    // https://github.com/GoogleCloudPlatform/cloud-sql-jdbc-socket-factory#creating-the-jdbc-url

    // Configure which instance and what database user to connect with.
    config.setJdbcUrl(String.format("jdbc:mysql:///%s", DB_NAME));

    config.addDataSourceProperty("socketFactory", "com.google.cloud.sql.mysql.SocketFactory");
    config.addDataSourceProperty("cloudSqlInstance", INSTANCE_CONNECTION_NAME);

    // If connecting using automatic database authentication, follow the instructions for
    // connecting using the connector, but set the DB_IAM_USER value to an IAM user or
    // service account that has been given access to the database.
    // See https://cloud.google.com/sql/docs/postgres/iam-logins for more details.
    config.addDataSourceProperty("enableIamAuth", "true");
    config.addDataSourceProperty("user", DB_IAM_USER);
    // Explicitly set sslmode to disable to prevent driver from hanging.
    // The Java Connector will handle SSL so it is unneccesary to enable it at the driver level.
    config.addDataSourceProperty("sslmode", "disable");

    // ... Specify additional connection properties here.
    // ...

    // Initialize the connection pool using the configuration object.
    return new HikariDataSource(config);
  }
}

R2DBC Java

// Set up ConnectionFactoryOptions
ConnectionFactoryOptions options =
    ConnectionFactoryOptions.builder()
        .option(DRIVER, "gcp")
        .option(PROTOCOL, "mysql")
        .option(USER, DB_USER)
        .option(DATABASE, DB_NAME)
        .option(HOST, CONNECTION_NAME)
        .option(ENABLE_IAM_AUTH, true)
        .build();

// Initialize connection pool
ConnectionFactory connectionFactory = ConnectionFactories.get(options);
ConnectionPoolConfiguration configuration =
    ConnectionPoolConfiguration.builder(connectionFactory).build();

this.connectionPool = new ConnectionPool(configuration);

Python

import os

from google.cloud.sql.connector import Connector, IPTypes
import pymysql

import sqlalchemy

def connect_with_connector_auto_iam_authn() -> sqlalchemy.engine.base.Engine:
    """
    Initializes a connection pool for a Cloud SQL instance of MySQL.

    Uses the Cloud SQL Python Connector with Automatic IAM Database Authentication.
    """
    # Note: Saving credentials in environment variables is convenient, but not
    # secure - consider a more secure solution such as
    # Cloud Secret Manager (https://cloud.google.com/secret-manager) to help
    # keep secrets safe.
    instance_connection_name = os.environ[
        "INSTANCE_CONNECTION_NAME"
    ]  # e.g. 'project:region:instance'
    db_iam_user = os.environ["DB_IAM_USER"]  # e.g. 'service-account-name'
    db_name = os.environ["DB_NAME"]  # e.g. 'my-database'

    ip_type = IPTypes.PRIVATE if os.environ.get("PRIVATE_IP") else IPTypes.PUBLIC

    # initialize Cloud SQL Python Connector object
    connector = Connector()

    def getconn() -> pymysql.connections.Connection:
        conn: pymysql.connections.Connection = connector.connect(
            instance_connection_name,
            "pymysql",
            user=db_iam_user,
            db=db_name,
            enable_iam_auth=True,
            ip_type=ip_type,
        )
        return conn

    # The Cloud SQL Python Connector can be used with SQLAlchemy
    # using the 'creator' argument to 'create_engine'
    pool = sqlalchemy.create_engine(
        "mysql+pymysql://",
        creator=getconn,
        # ...
    )
    return pool

Login dengan autentikasi database IAM manual

Pengguna atau aplikasi dapat melakukan autentikasi ke database menggunakan IAM dengan meminta token akses secara manual dari Google Cloud dan menyajikannya ke database. Dengan menggunakan gcloud CLI, Anda dapat secara eksplisit meminta token OAuth 2.0 dengan cakupan Cloud SQL Admin API yang digunakan untuk login ke database. Ketika Anda login sebagai pengguna database dengan autentikasi database IAM manual, Anda menggunakan alamat email Anda sebagai nama pengguna dan token akses sebagai sandinya. Anda dapat menggunakan metode ini dengan koneksi langsung ke database atau dengan konektor Cloud SQL.

Dalam prosedur ini, Anda melakukan autentikasi ke Google Cloud, meminta token akses, dan kemudian terhubung ke database dengan meneruskan token sebagai sandi untuk pengguna database IAM. Gunakan langkah-langkah ini untuk terhubung tanpa Proxy Auth Cloud SQL.

Untuk langkah-langkah ini, Anda harus:

Untuk login menggunakan autentikasi database IAM manual:

gcloud

  1. Lakukan autentikasi ke Google Cloud.

    Pengguna

    Lakukan autentikasi ke IAM menggunakan gcloud auth login. Untuk mengetahui informasi selengkapnya, lihat Memberikan otorisasi dengan akun pengguna.

    Service account

    Lakukan autentikasi ke IAM menggunakan gcloud auth activate-service-account. Untuk mengetahui informasi selengkapnya, lihat Memberikan otorisasi dengan akun layanan.

  2. Minta token akses, dan login dengan klien.

    Ganti kode berikut:

    • HOSTNAME: Alamat IP instance, baik alamat IP publik maupun alamat IP pribadi.
    • USERNAME: Untuk akun pengguna IAM, ini adalah alamat email pengguna, tanpa simbol @ atau nama domain. Misalnya, untuk test-user@example.com, masukkan test-user. Untuk akun layanan, ini adalah alamat email akun layanan tanpa akhiran @project-id.iam.gserviceaccount.com.

     MYSQL_PWD=`gcloud sql generate-login-token` \
     mysql --enable-cleartext-plugin \
     --ssl-mode=REQUIRED \
     --host=HOSTNAME \
     --user=USERNAME
     

    Jika ssl_mode pada instance Cloud SQL Anda dikonfigurasikan ke TRUSTED_CLIENT_CERTIFICATE_REQUIRED, sertakan sertifikat klien dan kunci klien saat Anda login. Selain itu, untuk mengizinkan klien memverifikasi identitas server untuk autentikasi bersama, tentukan sertifikat server server-ca.pem. Contoh:

     MYSQL_PWD=`gcloud sql generate-login-token` \
     mysql --enable-cleartext-plugin \
     --ssl-mode=VERIFY_CA \
     --ssl-ca=server-ca.pem \
     --ssl-cert=client-cert.pem \
     --ssl-key=client-key.pem \
     --host=HOSTNAME \
     --user=USERNAME
     

    Untuk mendapatkan informasi tentang cara membuat kunci dan sertifikat klien, lihat Sertifikat klien.

Langkah selanjutnya