Autenticazione IAM

Google Cloud offre Identity and Access Management (IAM), che ti consente di concedere accesso a risorse Google Cloud specifiche e di impedire l'accesso indesiderato ad altre risorse. Questa pagina descrive come Cloud SQL è integrato IAM e come puoi utilizzare IAM per gestire l'accesso a Cloud SQL risorse e l'autenticazione del database. Per una descrizione dettagliata di Google Cloud IAM, consulta la documentazione di IAM.

Cloud SQL offre un insieme di ruoli predefiniti progettato per aiutarti a controllare l'accesso alle tue risorse Cloud SQL. Puoi anche creare ruoli personalizzati, se i ruoli predefiniti non forniscono le autorizzazioni di cui hai bisogno. Inoltre, sono ancora disponibili anche i ruoli di base precedenti (Editor, Visualizzatore e Proprietario), anche se non forniscono lo stesso controllo granulare dei ruoli Cloud SQL. In particolare, i ruoli di base forniscono l'accesso alle risorse di Google Cloud, non solo a Cloud SQL. Per ulteriori informazioni sui ruoli di base di Google Cloud, consulta Ruoli di base.

Puoi impostare un criterio IAM a qualsiasi livello della gerarchia delle risorse: a livello di organizzazione, di cartella o di progetto. Le risorse ereditano i criteri di tutte le risorse principali.

Riferimenti IAM per Cloud SQL

Concetti di autenticazione IAM

Quando si utilizza l'autenticazione IAM, l'autorizzazione per accedere a una risorsa (un'istanza Cloud SQL) non viene concesso direttamente all'utente finale. Invece, le autorizzazioni sono raggruppate in ruoli e i ruoli vengono concessi alle entità. Per maggiori informazioni, consulta la panoramica di IAM.

Gli amministratori con utenti che accedono tramite l'autenticazione del database IAM possono utilizzare Autenticazione IAM per gestire centralmente il controllo dell'accesso alle istanze utilizzando i criteri IAM.

I criteri IAM coinvolgono le seguenti entità:

  • Direttori. In Cloud SQL puoi utilizzare diversi tipi di entità: un account utente, un account di servizio (per le applicazioni) o un gruppo. Per ulteriori informazioni, consulta Concetti correlati all'identità.
  • Ruoli. Un ruolo è una raccolta di autorizzazioni. Puoi assegnare ruoli ai principali per fornire loro i privilegi necessari per svolgere attività specifiche. Ad esempio, con l'autenticazione IAM dei database, un'entità richiede l'autorizzazione cloudsql.instances.login per accedere a un'istanza, incluso nel ruolo Utente istanza Cloud SQL. Per ottenere l'autorizzazione, devi vincolare l'utente, l'account di servizio o un gruppo al ruolo Cloud SQL predefinito o a un ruolo personalizzato include l'autorizzazione. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli.
  • Risorsa. Le risorse a cui accedono i principali sono istanze Cloud SQL. Per impostazione predefinita, le associazioni dei criteri IAM vengono applicate a livello di progetto, in modo che le entità ricevano le autorizzazioni dei ruoli per tutte le istanze Cloud SQL del progetto.

Autenticazione dei database IAM

L'autenticazione del database è il processo di verifica dell'identità di un utente che è di accedere ai database. In Cloud SQL, puoi utilizzare i seguenti tipi di autenticazione del database per gli utenti del database:

  • L'autenticazione integrata del database utilizza un nome utente e una password per autenticare un utente del database.
  • L'autenticazione IAM dei database utilizza IAM per autenticare un utente utilizzando un token di accesso. Hai due opzioni per gestire utenti o servizi .
    • Singolamente: per impostazione predefinita, quando utilizzi l'autenticazione del database IAM, concedi ruoli IAM e assegnare privilegi di database a singole e account di servizio. Puoi aggiungere account individuali alle istanze e gestire i privilegi ogni account separatamente.
    • Per gruppo: l'autenticazione di gruppo IAM consente di controllare e l'accesso alle istanze Cloud SQL a livello di gruppo. Ad esempio, puoi assegnare ruoli Identity and Access Management e privilegi per i database a un gruppo di Cloud Identity. Tutti gli utenti e gli account di servizio nel gruppo Cloud Identity ereditano i ruoli IAM e i privilegi del database assegnati al gruppo.

Confronta le opzioni di autenticazione del database

La seguente tabella mette a confronto i diversi metodi di autenticazione del database per Cloud SQL.

Funzionalità Autenticazione database integrata Autenticazione dei database IAM (singola) Autenticazione del gruppo IAM
Metodo di autenticazione Password Token di autenticazione temporaneo Token di autenticazione temporaneo
Crittografia del traffico di rete SSL non richiesto SSL obbligatorio SSL obbligatorio
Gestione utenti Manuale Centralizzazione tramite IAM Centralizzato tramite i gruppi IAM e Cloud Identity

Autenticazione di gruppi IAM

L'autenticazione di gruppo IAM consente di gestire gli utenti di Cloud SQL a livello di gruppo. Un esempio di gruppo include un gruppo Cloud Identity. Questa funzionalità semplifica la gestione degli utenti del database. Puoi gestire le risorse Cloud SQL Ruolo o autorizzazioni IAM per più account contemporaneamente anziché dover aggiornare singolarmente ogni account utente o di servizio. Puoi anche concedere e revocare i privilegi di database per un gruppo Cloud Identity. Tutti i nuovi account aggiunti al gruppo Cloud Identity ereditano i privilegi di quel gruppo.

Con l'autenticazione di gruppo IAM puoi:

  • Aggiungere un utente a un gruppo e fare in modo che erediti i propri ruoli IAM e i privilegi del database automaticamente.
  • Rimuovi un utente da un gruppo per rimuovere il suo accesso e il relativo database dai database Cloud SQL.
  • Concedi i privilegi di accesso o del database a un gruppo una sola volta anziché doverli concedere più volte a utenti diversi.
  • Rimuovi contemporaneamente le autorizzazioni di accesso o l'accesso a un oggetto database per un gruppo.

Anche se i ruoli e le autorizzazioni IAM vengono assegnati a livello di gruppo, gli utenti e gli account di servizio usano e credenziali IAM e non un account di gruppo condiviso se ne hai già uno. Cloud SQL crea un account di database sull'istanza per quell'utente o un account di servizio dopo il primo accesso.

Le attività di accesso e del database individuali per ciascun utente o account di servizio vengono visualizzate nei log di controllo. Per scopi di controllo, puoi visualizzare l'account che ha eseguito quale azione nel tuo database.

Per ulteriori informazioni sull'utilizzo dei gruppi Cloud Identity, consulta la Panoramica di Cloud Identity.

Quando aggiungi un account utente o di servizio a un gruppo, si verificano i seguenti cambiamenti in Cloud SQL:

  • Se hai già concesso le autorizzazioni di accesso IAM al gruppo, l'utente o l'account di servizio acquisisce la possibilità di accedere all' istanza Cloud SQL perché appartiene al gruppo.
  • L'utente eredita automaticamente tutti i privilegi del database che sono stati concessi al gruppo.

Quando rimuovi un account utente o di servizio dal gruppo, in Cloud SQL si verificano le seguenti modifiche:

  • L'utente perde i privilegi di database ereditati in precedenza di far parte del gruppo.
  • L'utente potrebbe comunque riuscire ad accedere se riceve le autorizzazioni di accesso IAM per l'istanza Cloud SQL tramite altri adesioni al gruppo. Tuttavia, l'utente non disporrà dei privilegi di database del gruppo precedente al momento dell'accesso.

Best practice per l'autenticazione dei gruppi IAM

  • Quando revochi l'autorizzazione di accesso (cloudsql.instances.login) per un gruppo IAM in Cloud Identity, assicurati di eliminare anche il gruppo dall'istanza Cloud SQL.
  • Quando elimini un gruppo da Cloud Identity, assicurati di per eliminare il gruppo dall'istanza Cloud SQL.
  • Utilizza i gruppi per configurare il controllo dell'accesso basato sui ruoli nel database. Sempre fornire al gruppo i privilegi meno necessari.
  • Non concedere ruoli di autenticazione di gruppo IAM agli utenti integrati. Ad esempio, se avere un utente integrato user-a e creare un'autenticazione di gruppo IAM utente, user-b@example.com, quindi non concedere user-b@example.com a user-a.

Limitazioni all'autenticazione dei gruppi IAM

  • Puoi aggiungere un massimo di 200 gruppi IAM a un'istanza.
  • Non puoi aggiungere singoli account utente o di servizio IAM che appartengono a un gruppo nella stessa istanza. In altre parole, non puoi aggiungere un account di tipo CLOUD_IAM_USER o CLOUD_IAM_SERVICE_ACCOUNT se esiste già un account identico di tipo CLOUD_IAM_GROUP_USER o CLOUD_IAM_GROUP_SERVICE_ACCOUNT.
  • Se esiste già un account individuale in un'istanza con digita CLOUD_IAM_USER o CLOUD_IAM_SERVICE_ACCOUNT, l'account non potrà essere utilizzato per l'autenticazione di gruppo IAM. Questi tipi di utenti non ereditano i ruoli IAM e i privilegi di database da un gruppo.

    Per risolvere il problema e utilizzare l'account con l'autenticazione di gruppo IAM, rimuovi il singolo account utente o di servizio IAM.

    Per ulteriori informazioni, consulta Un account di servizio o utente IAM esistente non eredita i privilegi di database concessi al gruppo.
  • Le modifiche all'appartenenza al gruppo Cloud Identity, ad esempio l'aggiunta di un account, richiedono circa 15 minuti per essere propagate. Questo tempo si aggiunge al tempo necessario per le modifiche IAM.

Autenticazione dei database IAM automatica e manuale

Cloud SQL per MySQL offre due opzioni per l'autenticazione IAM dei database: automatica e manuale.

Autenticazione IAM dei database automatica

L'autenticazione automatica dei database IAM consente di trasferire la richiesta e la gestione dei token di accesso a un connettore Cloud SQL intermediario, come il proxy di autenticazione Cloud SQL o uno dei connettori di linguaggio Cloud SQL. Con i modelli dell'autenticazione del database IAM, gli utenti devono passare Nome utente del database IAM in una richiesta di connessione dal client. Il connettore invia le informazioni del token di accesso per l'attributo password su per conto del cliente.

L'autenticazione automatica dei database IAM richiede l'uso di un connettore Cloud SQL è supportato Proxy di autenticazione Cloud SQL, il connettore Go, connettore Java e connettore Python.

Per un'esperienza più sicura e affidabile, ti consigliamo di utilizzare l'autenticazione automatica del database IAM. L'autenticazione dei database IAM utilizza token di accesso OAuth 2.0, che sono di breve durata valido solo per un'ora. I connettori Cloud SQL sono in grado di richiedere e aggiornare questi token, garantendo che le applicazioni o i processi a lungo termine che si basano sul pooling delle connessioni possano avere connessioni stabili. L'autenticazione automatica IAM dei database è vivamente consigliata rispetto all'autenticazione manuale.

Per saperne di più, consulta Accedere con l'autenticazione automatica del database IAM.

Autenticazione IAM dei database manuale

L'autenticazione manuale dei database IAM richiede che l'entità IAM passi esplicitamente il token di accesso per l'attributo password nella richiesta di connessione client. I principali devono prima accedere a Google Cloud e richiedere esplicitamente il token di accesso da IAM.

Con gcloud CLI, puoi richiedere esplicitamente un OAuth 2.0 con il token Ambito dell'API Cloud SQL Admin utilizzato per accedere al database. Quando accedi come utente del database con autenticazione IAM del database, tu utilizzi il tuo indirizzo email come nome utente il token di accesso come password. Puoi utilizzare questo metodo con una connessione diretta al database o con un connettore Cloud SQL.

L'accesso con l'autenticazione IAM dei database può essere eseguito solo tramite una connessione SSL.

Per ulteriori informazioni, vedi Accesso con l'autenticazione manuale dei database IAM.

Amministrazione di account di servizio e utenti

Per fornire agli utenti e ai service account l'accesso ai database di un'istanza utilizzando l'autenticazione IAM dei database, devi aggiungerli all'istanza o a un gruppo che ha accesso all'istanza. Per ulteriori informazioni, consulta Aggiungere un account utente o di servizio che utilizza IAM.

Se utilizzi la console Google Cloud per aggiungere utenti o account di servizio, Cloud SQL ti chiede di aggiungere l'"Utente Cloud SQL" all'utente. Questo ruolo è obbligatorio per consentire agli utenti di accedere all'istanza.

Dopo aver aggiunto l'utente IAM al database, devi concedere i privilegi del database manualmente. Utilizza il comando MySQL GRANT per concedere altri privilegi di database.

Configurazione dell'istanza per l'autenticazione IAM dei database Cloud SQL

Puoi attivare l'autenticazione IAM dei database su un'istanza utilizzando il flag cloudsql_iam_authentication . Una volta abilitato questo flag, l'istanza abilita gli accessi da account che e sono configurate per l'autenticazione IAM dei database.

Questo flag è obbligatorio per l'autenticazione dei gruppi IAM e l'autenticazione dei database IAM.

L'impostazione del flag non impedisce agli utenti esistenti non IAM di usare i propri nomi utente e le proprie password per accedere. Tuttavia, se disabiliti questo flag nell'istanza, qualsiasi utente che hai aggiunto in precedenza utilizzando l'autenticazione del database IAM perde l'accesso all'istanza. Per ulteriori informazioni, consulta la pagina sulla configurazione delle istanze per l'autenticazione IAM dei database.

Autenticazione IAM dei database Cloud SQL per diversi scenari di istanze

Repliche di lettura L'autenticazione IAM dei database non è abilitata automaticamente in una replica di lettura, anche quando è abilitato sull'istanza principale. Dopo aver creato una replica di lettura, aggiungere l'autenticazione IAM del database. Per ulteriori informazioni, vedi Configura gli accessi alle repliche di lettura per l'autenticazione dei database IAM.
Istanze ripristinate Se in precedenza è stato eseguito il backup di un'istanza e in seguito è stata ripristinata nella stessa o in un'altra istanza nello stesso progetto, vengono applicate le autorizzazioni di accesso dell'utente corrente. Se ripristini un backup in una nuova istanza di un altro progetto, devi configurare le autorizzazioni utente per la nuova istanza. Per ulteriori informazioni, vedi Aggiungi un account utente o di servizio che utilizza l'autenticazione IAM del database.

Informazioni sulle condizioni IAM

Le condizioni IAM ti consentono di concedere ruoli in base a una serie di attributi. Ad esempio, puoi consentire l'accesso solo in determinate date e orari o concedere l'accesso solo a alle risorse Cloud SQL con determinati nomi.

Per ulteriori informazioni sulle condizioni IAM, consulta la Panoramica delle condizioni IAM . Puoi anche scoprire di più su come utilizzare le condizioni IAM con Cloud SQL, inclusi esempi.

Utilizzare Cloud Audit Logs

Per conservare i record degli accessi ai dati, inclusi gli accessi, puoi utilizzare i log di controllo. Cloud Audit Logs è disattivato per impostazione predefinita. Tu attivare gli audit log dell'accesso ai dati monitoraggio degli accessi. L'uso dell'audit logging per questo scopo comporta costi per i dati log. Per ulteriori informazioni, consulta Log di controllo, Configurazione degli audit log di accesso ai dati e Prezzi per i dati di log.

Limitazioni

  1. Il nome utente di un account utente per l'autenticazione IAM dei database deve essere tutto minuscolo. Ad esempio: example-user@example.com. Example-User@example.com non è consentito.
  2. Per motivi di sicurezza, gli accessi mediante l'autenticazione IAM dei database sono disponibili solo su un connessione. Le connessioni non criptate vengono rifiutate.
  3. Per ogni istanza è prevista una quota di accessi al minuto, che include sia gli accessi riusciti sia quelli non riusciti. Quando la quota viene superata, gli accessi vengono temporaneamente non disponibile. Ti consigliamo di evitare accessi frequenti e di limitare gli accessi utilizzando reti autorizzate. La quota per l'autorizzazione degli accessi è di 12.000 al minuto per istanza.
  4. L'autenticazione IAM dei database non è supportata per le istanze che utilizzano MySQL 5.6.

Passaggi successivi