IAM-Authentifizierung

Google Cloud bietet mit Identity and Access Management (IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite wird beschrieben, wie Cloud SQL in IAM eingebunden ist und wie Sie IAM für die Datenbankauthentifizierung verwenden können. Eine detaillierte Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.

Cloud SQL bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Cloud SQL-Ressourcen steuern können. Sie können auch eigene benutzerdefinierte Rollen erstellen, wenn die vordefinierten Rollen keine Informationen zu den benötigten Gruppen von Berechtigungen enthalten. Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) nach wie vor zur Verfügung. Sie bieten aber nicht die gleiche präzisen Steuerungsmöglichkeiten wie die Cloud SQL-Rollen. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Cloud SQL. Weitere Informationen zu einfachen Google Cloud-Rollen finden Sie unter Einfache Rollen.

Sie können eine IAM-Richtlinie auf jeder Ebene der Ressourcenhierarchie festlegen: der Organisationsebene, der Ordnerebene oder der Projektebene. Ressourcen übernehmen die Richtlinien aller ihrer übergeordneten Ressourcen.

IAM-Referenzen für Cloud SQL

Konzepte der IAM-Authentifizierung

Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Ressource (eine Cloud SQL-Instanz) nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.

Administratoren, bei denen sich Nutzer über die IAM-Datenbankauthentifizierung anmelden, können mit IAM die Zugriffssteuerung für ihre Instanzen zentral über IAM-Richtlinien verwalten. IAM-Richtlinien umfassen die folgenden Entitäten:

  • Hauptkonten. In Cloud SQL können Sie verschiedene Arten von IAM-Hauptkonten verwenden: Nutzerkonto, Dienstkonto (für Anwendungen) oder Gruppe. Weitere Informationen finden Sie unter Identitätskonzepte.
  • Rollen: Zur IAM-Datenbankauthentifizierung benötigt ein Hauotkonto die Berechtigung cloudsql.instances.login, um sich bei einer Instanz anzumelden. Damit der Nutzer diese Berechtigung erhält, binden Sie ihn, das Dienstkonto oder die Gruppe entweder an die vordefinierte Rolle "Cloud SQL-Instanznutzer" oder an eine benutzerdefinierte Rolle, die die Berechtigung umfasst. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen.
  • Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Cloud SQL-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Cloud SQL-Instanzen im Projekt erhalten.

Authentifizierung der IAM-Datenbank

Cloud SQL ist in Identity and Access Management (IAM) eingebunden, damit Sie den Anmeldezugriff für Nutzer und Dienstkonten auf Datenbanken besser verwalten können. Dieses Feature wird als IAM-Datenbankauthentifizierung bezeichnet.

Bei der Authentifizierung wird die Identität eines Nutzers überprüft, der versucht, auf eine Instanz zuzugreifen. Cloud SQL verwendet die folgenden Authentifizierungstypen für Datenbanknutzer:

  • Die integrierte Authentifizierung der Datenbank verwendet einen Nutzernamen und ein Passwort, um einen Datenbanknutzer zu authentifizieren.
  • Die IAM-Datenbankauthentifizierung verwendet IAM, um einen Nutzer mithilfe eines Zugriffstokens zu authentifizieren. Sie haben zwei Möglichkeiten, Nutzer oder Dienstkonten zu verwalten.
    • Einzelperson: Wenn Sie die IAM-Datenbankauthentifizierung verwenden, gewähren Sie standardmäßig IAM-Rollen und weisen einzelnen Nutzern und Dienstkonten Datenbankberechtigungen zu. Sie können Instanzen einzelne Konten hinzufügen und die Berechtigungen jedes Kontos separat verwalten.
    • Nach Gruppe: Mit der IAM-Gruppenauthentifizierung können Sie den Zugriff auf Cloud SQL-Instanzen auf Gruppenebene steuern. Sie können beispielsweise einer Cloud Identity-Gruppe IAM-Rollen und -Berechtigungen (Identity and Access Management) zuweisen. Alle Nutzer und Dienstkonten in der Cloud Identity-Gruppe übernehmen die IAM-Rollen und Datenbankberechtigungen, die der Gruppe zugewiesen sind. Die IAM-Gruppenauthentifizierung befindet sich in der Vorschau.

Optionen für die Datenbankauthentifizierung vergleichen

In der folgenden Tabelle werden verschiedene Datenbankauthentifizierungsmethoden für Cloud SQL verglichen.

Feature Integrierte Datenbankauthentifizierung IAM-Datenbankauthentifizierung (Einzelperson) Authentifizierung der IAM-Gruppe
Authentifizierungsmethode Passwort Temporäres Authentifizierungstoken Temporäres Authentifizierungstoken
Verschlüsselung von Netzwerktraffic SSL nicht erforderlich SSL erforderlich. SSL erforderlich.
Nutzerverwaltung Manuell Zentralisiert über IAM Über IAM- und Cloud Identity-Gruppen zentralisiert

IAM-Gruppenauthentifizierung

Mit der IAM-Gruppenauthentifizierung können Sie Cloud SQL-Nutzer auf Gruppenebene verwalten. Ein Beispiel für eine Gruppe enthält eine Cloud Identity-Gruppe. Diese Funktion vereinfacht die Nutzerverwaltung für die Datenbank. Sie können die Cloud SQL-IAM-Rolle oder die Berechtigungen für mehrere Konten gleichzeitig verwalten, anstatt jeden Nutzer oder jedes Dienstkonto einzeln aktualisieren zu müssen. Sie können auch die Datenbankberechtigungen für eine Cloud Identity-Gruppe gewähren und widerrufen. Alle neuen Konten, die Sie der Cloud Identity-Gruppe hinzufügen, übernehmen die Berechtigungen dieser Gruppe.

Mit der IAM-Gruppenauthentifizierung können Sie Folgendes tun:

  • Fügen Sie einer Gruppe einen Nutzer hinzu. Der Nutzer übernimmt dann automatisch die IAM-Rollen und Datenbankberechtigungen.
  • Entfernen Sie einen Nutzer aus einer Gruppe, um den Anmeldezugriff und die Datenbankberechtigungen aus Cloud SQL-Datenbanken zu entfernen.
  • Gewähren Sie einer Gruppe Anmelde- oder Datenbankberechtigungen einmal, anstatt dieselben Berechtigungen mehrmals für verschiedene Nutzer erteilen zu müssen.
  • Sie können entweder die Anmeldedaten oder den Zugriff auf ein Datenbankobjekt für eine Gruppe auf einmal entfernen.

Obwohl IAM-Rollen und -Berechtigungen auf Gruppenebene zugewiesen werden, verwenden Nutzer und Dienstkonten ihre einzelnen IAM-Konten und Anmeldedaten und kein freigegebenes Gruppenkonto, um sich anzumelden. Cloud SQL erstellt nach der ersten Anmeldung ein Datenbankkonto auf der Instanz für diesen Nutzer oder dieses Dienstkonto.

In Audit-Logs werden die einzelnen Anmeldungen und Datenbankaktivitäten für jeden Nutzer oder jedes Dienstkonto angezeigt. Zu Prüfungszwecken haben Sie den Vorteil, dass Sie sehen, welches Konto welche Aktion in Ihrer Datenbank ausgeführt hat.

Weitere Informationen zur Arbeit mit Cloud Identity-Gruppen finden Sie in der Cloud Identity-Übersicht.

Wenn Sie einer Gruppe einen Nutzer oder ein Dienstkonto hinzufügen, ändert sich in Cloud SQL Folgendes:

  • Wenn Sie der Gruppe bereits IAM-Anmeldeberechtigungen erteilt haben, kann sich der Nutzer oder das Dienstkonto bei der Cloud SQL-Instanz anmelden, da der Nutzer oder das Dienstkonto der Gruppe gehört.
  • Der Nutzer übernimmt automatisch alle Datenbankberechtigungen, die der Gruppe gewährt wurden.

Wenn Sie einen Nutzer oder ein Dienstkonto aus der Gruppe entfernen, ändert sich in Cloud SQL die folgende:

  • Der Nutzer verliert alle Datenbankberechtigungen, die zuvor als Mitglied der Gruppe übernommen wurden.
  • Der Nutzer kann sich möglicherweise weiterhin anmelden, wenn er über andere Gruppenmitgliedschaften IAM-Anmeldeberechtigungen für die Cloud SQL-Instanz erhält. Der Nutzer erhält bei der Anmeldung jedoch keine Datenbankberechtigungen aus seiner früheren Gruppenmitgliedschaft.

Einschränkungen für die IAM-Gruppenauthentifizierung

  • Die IAM-Gruppenauthentifizierung kann nur über die gcloud CLI während der Vorschau verwaltet werden.
  • Sie können einer Instanz maximal 200 Cloud Identity-Gruppen hinzufügen.
  • Es ist nicht möglich, einzelne IAM-Nutzer oder -Dienstkonten hinzuzufügen, die zu einer Gruppe auf derselben Instanz gehören. Mit anderen Worten, Sie können kein Konto vom Typ CLOUD_IAM_USER oder CLOUD_IAM_SERVICE_ACCOUNT hinzufügen, wenn bereits ein identisches Konto vom Typ CLOUD_IAM_GROUP_USER oder CLOUD_IAM_GROUP_SERVICE_ACCOUNT vorhanden ist.

  • Wenn auf einer Instanz mit dem Typ CLOUD_IAM_GROUP_USER oder CLOUD_IAM_GROUP_SERVICE_ACCOUNT bereits ein einzelnes Konto vorhanden ist, kann das Konto nicht für die IAM-Gruppenauthentifizierung verwendet werden. Diese Nutzertypen übernehmen keine IAM-Rollen und Datenbankberechtigungen aus einer Gruppe.

    Um dieses Problem zu beheben und das Konto mit der IAM-Gruppenauthentifizierung zu verwenden, entfernen Sie den einzelnen IAM-Nutzer oder das Dienstkonto. Weitere Informationen finden Sie unter Ein vorhandener IAM-Nutzer oder ein Dienstkonto übernimmt nicht die Datenbankberechtigungen, die seiner Gruppe gewährt wurden.

  • Änderungen an der Cloud Identity-Gruppenmitgliedschaft, z. B. das Hinzufügen eines Kontos, werden etwa 15 Minuten dauern. Dies gilt zusätzlich zur Zeit, die für IAM-Änderungen benötigt wird.

    Nachdem die Änderungen übernommen wurden, muss sich der Nutzer oder das Dienstkonto abmelden und noch einmal anmelden, damit die Änderung wirksam wird.

Automatische oder manuelle IAM-Datenbankauthentifizierung

Cloud SQL for MySQL bietet zwei Optionen für die IAM-Datenbankauthentifizierung: automatisch und manuell.

Automatische IAM-Datenbankauthentifizierung

Mit der automatischen IAM-Datenbankauthentifizierung können Sie Zugriffstokens an einen Cloud SQL-Connector wie den Cloud SQL-Auth-Proxy anfordern und verwalten. Bei der automatischen IAM-Datenbankauthentifizierung müssen Nutzer nur den Nutzernamen der IAM-Datenbank in einer Verbindungsanfrage vom Client übergeben. Der Connector sendet die Zugriffstokeninformationen für das Passwortattribut im Namen des Clients.

Für die automatische IAM-Datenbankauthentifizierung ist die Verwendung eines Cloud SQL-Connectors erforderlich. Er wird vom Cloud SQL Auth-Proxy, dem Go-Connector, dem Java-Connector und dem Python-Connector unterstützt.

Als sicherste und zuverlässigste Nutzungsmöglichkeit empfehlen wir die Verwendung der automatischen IAM-Datenbankauthentifizierung. Für die IAM-Datenbankauthentifizierung werden OAuth 2.0-Zugriffstoken genutzt. Diese sind nur temporär und lediglich für eine Stunde gültig. Cloud SQL-Connectors können diese Tokens anfordern und aktualisieren, wodurch sichergestellt ist, dass langlebige Prozesse oder Anwendungen, die Verbindungs-Pooling nutzen, auf stabile Verbindungen zurückgreifen können. Die automatische Authentifizierung der IAM-Datenbank wird anstelle der manuellen Authentifizierung dringend empfohlen.

Weitere Informationen finden Sie unter Mit automatischer IAM-Datenbankauthentifizierung anmelden.

Manuelle IAM-Datenbankauthentifizierung

Für die manuelle IAM-Datenbankauthentifizierung muss das IAM-Hauptkonto das Zugriffstoken für das Passwortattribut in der Clientverbindungsanfrage explizit übergeben. Hauptkonten müssen sich zuerst in Google Cloud anmelden und das Zugriffstoken explizit von IAM anfordern.

Mit der gcloud CLI haben Sie die Möglichkeit, explizit ein OAuth 2.0-Token im Geltungsbereich der Cloud SQL Admin API anzufordern, das für die Anmeldung bei der Datenbank verwendet wird. Wenn Sie sich als Datenbanknutzer mit der IAM-Datenbankauthentifizierung anmelden, verwenden Sie Ihre E-Mail-Adresse als Nutzernamen und das Zugriffstoken als Passwort. Sie können diese Methode entweder mit einer direkten Verbindung zur Datenbank oder mit einem Cloud SQL-Connector verwenden.

Die Anmeldung mit IAM-Datenbankauthentifizierung kann nur über eine SSL-Verbindung erfolgen.

Weitere Informationen finden Sie unter Mit manueller IAM-Datenbankauthentifizierung anmelden.

Nutzer- und Dienstkontoverwaltung

Damit Nutzer und Dienstkonten mithilfe der IAM-Datenbankauthentifizierung Zugriff auf Datenbanken in einer Instanz erhalten, müssen Sie sie der Instanz hinzufügen oder sie einer Gruppe hinzufügen, die Zugriff auf die Instanz hat. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM hinzufügen.

Wenn Sie über die Google Cloud Console Nutzer oder Dienstkonten hinzufügen, werden Sie von Cloud SQL aufgefordert, dem Nutzer die Rolle „Cloud SQL-Nutzer“ zuzuweisen. Diese Rolle ist erforderlich, damit sich Nutzer bei der Instanz anmelden können.

Nachdem Sie den IAM-Nutzer zur Datenbank hinzugefügt haben, müssen Sie manuell Datenbankberechtigungen gewähren. Verwenden Sie den MySQL-Befehl GRANT, um andere Datenbankberechtigungen zu gewähren.

Instanzkonfiguration für die Cloud SQL-IAM-Datenbankauthentifizierung

Sie können die IAM-Datenbankauthentifizierung für eine Instanz mit dem Flag cloudsql_iam_authentication aktivieren. Wenn Sie dieses Flag aktivieren, ermöglicht die Instanz Anmeldungen von Konten, die für die IAM-Datenbankauthentifizierung konfiguriert sind.

Dieses Flag ist für die IAM-Gruppenauthentifizierung und die IAM-Datenbankauthentifizierung erforderlich.

Durch das Festlegen des Flags wird nicht verhindert, dass vorhandene Nicht-IAM-Nutzer ihre Nutzernamen und Passwörter zur Anmeldung verwenden. Wenn Sie allerdings dieses Flag für die Instanz deaktivieren, haben die Nutzer, die Sie zuvor über die IAM-Datenbankauthentifizierung hinzugefügt wurden, keinen Zugriff mehr auf die Instanz. Weitere Informationen finden Sie unter Instanzen für die IAM-Datenbankauthentifizierung konfigurieren.

Cloud SQL-IAM-Datenbankauthentifizierung für verschiedene Instanzszenarien

Lesereplikate Die IAM-Datenbankauthentifizierung wird in einem Lesereplikat nicht automatisch aktiviert, auch wenn sie in der primären Instanz aktiviert ist. Nachdem Sie ein Lesereplikat erstellt haben, müssen Sie die IAM-Datenbankauthentifizierung hinzufügen. Weitere Informationen finden Sie unter Lesereplikatanmeldungen für die IAM-Datenbankauthentifizierung konfigurieren.
Wiederhergestellte Instanzen Wenn eine Instanz zuvor gesichert und später in derselben oder einer anderen Instanz im selben Projekt wiederhergestellt wurde, gelten die aktuellen Autorisierungen für die Nutzeranmeldung. Wenn Sie eine Sicherung in einer neuen Instanz in einem anderen Projekt wiederherstellen, müssen Sie die Nutzerautorisierungen für die neue Instanz einrichten. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM-Datenbankauthentifizierung hinzufügen.

Informationen zu IAM Conditions

Mit IAM Conditions können Sie Rollen anhand einer Vielzahl von Attributen zuweisen. Sie können damit beispielsweise den Zugriff nur zu bestimmten Datumsangaben und Uhrzeiten zulassen oder nur auf Cloud SQL-Ressourcen mit bestimmten Namen zugreifen.

Weitere Informationen zu IAM Conditions finden Sie auf der Seite Übersicht über IAM Conditions. Weitere Informationen finden Sie unter IAM Conditions verwenden mit Cloud SQL, einschließlich Beispielen.

Mit Cloud-Audit-Logs arbeiten

Sie können Audit-Logs verwenden, um Datensätze über den Datenzugriff, einschließlich Anmeldungen, aufzubewahren. Cloud-Audit-Logs sind standardmäßig deaktiviert. Sie müssen Audit-Logs zum Datenzugriff für das Tracking von Anmeldungen aktivieren. Die Verwendung von Audit-Logging zu diesem Zweck verursacht Kosten für das Logging von Daten. Weitere Informationen finden Sie unter Audit-Logs, Audit-Logs zum Datenzugriff konfigurieren und den Preisen für das Logging von Daten.

Beschränkungen

  1. Aus Sicherheitsgründen sind Anmeldungen mit der IAM-Datenbankauthentifizierung nur über eine SSL-Verbindung möglich. Unverschlüsselte Verbindungen werden abgelehnt.
  2. Für jede Instanz gilt ein Anmeldungskontingent pro Minute, das sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen umfasst. Wenn das Kontingent überschritten wird, sind Anmeldungen vorübergehend nicht möglich. Wir empfehlen, häufige Anmeldungen zu vermeiden und Anmeldungen mithilfe von autorisierten Netzwerken einzuschränken. Das Kontingent für die Autorisierung von Anmeldungen beträgt 12.000 pro Minute und Instanz.
  3. Die IAM-Datenbankauthentifizierung wird für Instanzen, die MySQL 5.6 verwenden, nicht unterstützt.

Nächste Schritte