Authentification intégrée Cloud SQL pour les bases de données

MySQL | PostgreSQL | SQL Server

Cette page décrit le fonctionnement de l'authentification intégrée sur les instances Cloud SQL, ainsi que la manière dont les administrateurs de base de données peuvent définir des règles relatives aux mots de passe pour les utilisateurs locaux de bases de données.

Introduction

L'authentification est le processus consistant à vérifier l'identité d'un utilisateur qui tente d'accéder à une instance. Cloud SQL utilise les types d'authentification suivants pour les utilisateurs de bases de données :

L'authentification intégrée à la base de données utilise un nom d'utilisateur et un mot de passe pour authentifier les utilisateurs locaux de la base de données. Ce type d'authentification est décrit dans la présente page.
L'authentification IAM pour les bases de données utilise IAM pour authentifier un utilisateur. Pour en savoir plus, consultez la page Présentation de l'authentification IAM pour les bases de données Cloud SQL.

Bien que l'authentification IAM pour les bases de données soit plus sécurisée et fiable, vous préférez peut-être utiliser l'authentification intégrée ou un modèle d'authentification hybride incluant les deux types d'authentification.

La création et la gestion des utilisateurs locaux de base de données peut s'effectuer localement, au sein d'une base de données, afin d'autoriser des personnes ou des applications spécifiques à accéder à une base de données. Ces utilisateurs sont les propriétaires des objets qu'ils créent dans la base de données. Cloud SQL bénéficie d'une intégration dédiée qui n'accepte que des mots de passe complexes. Vous pouvez définir et activer une telle application forcée via des règles relatives aux mots de passe.

Règles relatives aux mots de passe d'instance

Vous pouvez définir une règle relative aux mots de passe au niveau de l'instance, lorsque vous créez une instance.

Une règle relative aux mots de passe définie pour une instance peut inclure les options suivantes :

Longueur minimale : spécifie le nombre minimal de caractères que le mot de passe doit contenir.
Complexité du mot de passe: vérifie si le mot de passe est une combinaison de caractères minuscules, majuscules, numériques et non alphanumériques.
Restreindre la réutilisation des mots de passe : spécifie le nombre de mots de passe précédents que vous ne pouvez pas réutiliser.
Interdire le nom d'utilisateur : empêche de spécifier le nom d'utilisateur dans le mot de passe.
Définir un intervalle de changement de mot de passe : spécifie la durée minimale après laquelle vous pouvez modifier le mot de passe.

Vous devez explicitement activer une règle relative aux mots de passe au niveau de l'instance. Vous pouvez la modifier ultérieurement en modifiant l'instance.

Règles relatives aux mots de passe utilisateur

Lorsque vous créez un utilisateur, vous pouvez définir les restrictions d'utilisation des mots de passe suivantes :

Définir l'expiration du mot de passe: spécifiez le nombre de jours au bout duquel le mot de passe expire et vous devez en créer un autre.
Verrouillage après des tentatives infructueuses: indiquez le nombre maximum de tentatives de connexion infructueuses (mot de passe incorrect) avant le verrouillage du compte.

Vous pouvez également modifier les règles relatives aux mots de passe utilisateur.

L'état de l'utilisateur, qui indique si son mot de passe a expiré ou si son compte est verrouillé, est visible lorsque vous répertoriez les utilisateurs de l'instance. Vous pouvez déverrouiller les utilisateurs et modifier le mot de passe depuis la page "Utilisateurs".

Authentification intégrée Cloud SQL pour les instances dupliquées avec accès en lecture

La gestion des règles relatives aux mots de passe pour les instances dupliquées s'effectue sur l'instance principale. Vous ne pouvez pas modifier séparément les règles relatives aux mots de passe pour les instances dupliquées avec accès en lecture.

Lorsque vous promouvez une instance, vous devez réactiver la règle relative aux mots de passe de l'instance avec les options de la règle.