Cloud SQL の組み込みデータベース認証

このページでは、Cloud SQL インスタンスに対する組み込み認証の仕組みと、データベース管理者がローカル データベース ユーザーのパスワード ポリシーを設定する方法について説明します。

はじめに

認証とは、インスタンスにアクセスを試みるユーザーの身元を確認するプロセスです。Cloud SQL は、データベース ユーザーに対して次の種類の認証が使用されます。

  • データベースの組み込み認証では、ローカル データベース ユーザーを認証するためにユーザー名とパスワードが使用されます。現在のページでは、このタイプの認証について説明します。
  • IAM データベース認証では、IAM を使用してユーザーを認証します。詳細については、Cloud SQL IAM データベースの認証の概要をご覧ください。

IAM データベース認証は安全性と信頼性に優れていますが、組み込みの認証モデルか、両方の認証タイプを含むハイブリッド認証モデルを使用することをおすすめします。

Cloud SQL 向けの組み込み認証

データベース内にローカル データベース ユーザーを作成して管理することで、特定のユーザーまたはアプリケーションにデータベースへのアクセスを許可します。このようなデータベース ユーザーは、データベースで作成したオブジェクトを所有します。

Cloud SQL では、インスタンス レベルで強力なパスワード ルールが適用されます。パスワード ポリシーを使用してそのようなルールを定義し、有効にできます。

インスタンスを作成するときに、インスタンス レベルでパスワード ポリシーを設定できます。

インスタンスのパスワード ポリシーには、次のオプションを含めることができます。

  • 最小文字数: パスワードの最小文字数を指定します。
  • パスワードの複雑さ: パスワードが小文字、大文字、数字、英数字以外の文字の組み合わせになっているかどうかを確認します。
  • パスワードの再利用の制限: 再利用できない以前のパスワードの数を指定します。
  • ユーザー名の禁止: パスワードにユーザー名を使用できないようにします。
  • パスワード変更の間隔を設定する: パスワードを変更可能になるまでの最小期間を指定します。

パスワード ポリシーはインスタンス レベルで明示的に有効にする必要があります。後でインスタンスを編集して変更できます。

リードレプリカ用の Cloud SQL 組み込み認証

プライマリ インスタンスのレプリカのパスワード ポリシーを管理します。リードレプリカのパスワード ポリシーを個別に変更することはできません。

インスタンスをプロモートする場合は、ポリシー オプションとともにインスタンスのパスワード ポリシーを再度有効にする必要があります。

次のステップ