アクセス制御について

このページでは、Cloud SQL インスタンスの 2 つのレベルのアクセス制御について説明します。インスタンスを管理する前に、両方のレベルのアクセス制御を構成する必要があります。

アクセス制御のレベル

アクセス制御の構成とは、誰がまたは何がインスタンスにアクセスできるかを制御することです。アクセス制御には 2 つのレベルがあります。

インスタンスレベル アクセス
インスタンスレベル アクセスにより、App Engine スタンダード環境や外部で実行中のアプリケーションまたはクライアントから、あるいは Compute Engine など別の Google Cloud サービスから、Cloud SQL インスタンスへのアクセスが許可されます。
データベース アクセス
データベース アクセスでは、MySQL のアクセス制御システムを使用して、MySQL ユーザーがインスタンス内のデータにアクセスできます。

インスタンスレベル アクセス

インスタンスレベルのアクセスの構成は、接続ソースによって異なります。
接続元 構成方法 詳細
Compute Engine
  • Cloud SQL Auth Proxy
  • 静的 IP アドレスを承認
App Engine スタンダード環境
  • 同じプロジェクト: 事前構成
  • プロジェクト間: IAM の構成
App Engine フレキシブル環境
  • 同じプロジェクト: 事前構成
  • プロジェクト間: IAM の構成
外部アプリケーション
  • Cloud SQL Auth Proxy
  • クライアント IP アドレスを承認
Cloud Run functions
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成
Cloud Run
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成
Google Kubernetes Engine
  • プライベート IP
  • パブリック IP の場合、Cloud SQL Proxy は必須

データベース アクセス

データベース インスタンスに接続したユーザーまたはアプリケーションは、ユーザー アカウントまたはサービス アカウントを使用してログインする必要があります。Cloud SQL インスタンスの作成の一環として、デフォルト ユーザー(root)アカウントを設定します。さらにユーザーを追加して、インスタンスへのアクセスをきめ細かく制御することもできます。

詳細については、MySQL ユーザーデフォルト ユーザー アカウントの構成をご覧ください。

次のステップ