Panoramica
La gestione corretta delle informazioni sensibili è una parte essenziale della creazione di un flusso di lavoro di sviluppo sicuro. Per Cloud SQL, ti consigliamo di archiviare i tuoi dati sensibili come secret che crei in Secret Manager. I secret includono chiavi API, password, informazioni sensibili o credenziali che potresti utilizzare per accedere a un sistema riservato.
Secret Manager offre praticità e migliora la sicurezza. Puoi anche applicare il controllo delle versioni ai secret e condividerli con il tuo team. Per scoprire di più su come condividere i secret con il tuo team, consulta Controllo dell'accesso (IAM).
Questa pagina descrive quattro casi d'uso per l'utilizzo di Secret Manager per gestire i secret con Cloud SQL:
- Memorizzazione di nomi utente e password
- Connessione alle istanze Cloud SQL
- Gestione dei certificati SSL/TLS
- Coordinamento degli scenari di ripristino di emergenza
Prima di iniziare
Prima di iniziare a utilizzare Secret Manager per gestire i secret in Cloud SQL:
- Familiarizza con Cloud SQL e Secret Manager.
- Inizia a utilizzare Cloud SQL scoprendo come connetterti alla tua prima istanza Cloud SQL dal computer locale.
Nomi utente e password
L'utilizzo di Secret Manager per archiviare i nomi utente e le password degli account utente Cloud SQL come secret è un modo sicuro e affidabile per gestire queste informazioni sensibili.
Innanzitutto, devi creare un utente in Cloud SQL. Durante la creazione di questo utente, devi fornire un nome utente e una password. Per saperne di più sulla creazione di un utente in Cloud SQL, vedi Creare e gestire gli utenti.
Dopo aver creato l'utente, crea un secret in Secret Manager per archiviare il nome utente e la password. In questo modo, le informazioni sensibili non andranno perse. Per maggiori informazioni sulla creazione e sull'accesso ai secret in Secret Manager, consulta Creazione e accesso ai secret.
Istanze Cloud SQL
Quando ti connetti all'istanza Cloud SQL, puoi utilizzare Secret Manager per gestire i secret e creare un flusso di lavoro di sviluppo sicuro.
Inizia connettendoti all'istanza Cloud SQL dal computer locale. Dopo l'avvio dell'istanza, utilizza le variabili di ambiente per connetterti. Alcuni valori associati alle variabili sono più sensibili, ad esempio il nome della connessione dell'istanza. Per ogni valore, puoi creare un secret in Secret Manager per archiviare e gestire queste informazioni. Per scoprire di più sull'utilizzo delle variabili di ambiente per connetterti all'istanza Cloud SQL, consulta Configurare ed eseguire l'app di esempio.
Puoi recuperare direttamente il nome di connessione istanza archiviato come secret da Secret Manager. In questo modo, il tuo team può condividere queste informazioni sensibili in più applicazioni e gestirle da una posizione centralizzata. Per ulteriori informazioni sul recupero dei secret da Secret Manager, consulta Creare un secret con Secret Manager.
Per avviarsi, un'applicazione richiede le informazioni contenute nei secret. Queste informazioni includono i valori associati alle variabili di ambiente utilizzate per connettersi all'applicazione. L'applicazione accede ai secret all'avvio e li utilizza per configurare una connessione a Cloud SQL. Se vengono aggiornati secret pertinenti in Secret Manager, potrebbe essere necessario riavviare l'applicazione.
Certificati SSL/TLS
Se ti connetti a un'istanza Cloud SQL utilizzando un indirizzo IP pubblico o privato, devi utilizzare un certificato Transport Layer Security (TLS) che protegga i dati durante la trasmissione. Ogni certificato TLS include un certificato di chiave pubblica e una chiave privata. Per maggiori informazioni sulla configurazione dei certificati TLS, consulta Configurare i certificati SSL/TLS.
Puoi salvare il certificato TLS, il certificato di chiave pubblica e la chiave privata come segreti per proteggerli e condividerli con il tuo team. Per ulteriori informazioni sulla creazione e sull'accesso ai secret, vedi Creare un secret con Secret Manager. Per saperne di più sulla condivisione dei secret, consulta Controllo dell'accesso (IAM).
Scenari di ripristino di emergenza
Se un'istanza principale in Cloud SQL ha esito negativo, puoi promuovere una replica di lettura all'istanza principale. Dopo che la replica di lettura diventa l'istanza principale, devi aggiornare il nome della connessione dell'istanza per riflettere questa promozione. Se il nome della connessione dell'istanza è memorizzato in un secret, devi aggiornarlo con il nome della nuova istanza primaria. Per saperne di più, vedi Modificare un secret.
Un modo per utilizzare Secret Manager per i failover è archiviare il nome dell'istanza primaria in un secret, quindi configurare il connettore Cloud SQL in modo che venga aggiornato ogni volta che il secret viene aggiornato.
Puoi utilizzare il seguente script wrapper bash con il proxy di autenticazione Cloud SQL per rilevare quando il valore del nome della connessione all'istanza viene aggiornato, quindi riavviare il proxy con il nuovo valore:
Per ulteriori informazioni sulla creazione e l'accesso a un secret che contiene il nome della connessione dell'istanza della replica primaria, consulta Creare un secret con Secret Manager. Per ulteriori informazioni sull'utilizzo del proxy di autenticazione Cloud SQL, consulta Connettersi a Cloud SQL utilizzando il proxy di autenticazione Cloud SQL.
Passaggi successivi
- Puoi integrare Secret Manager con altri Google Cloud
prodotti come Cloud Run.
- Per ulteriori informazioni su come proteggere i secret negli ambienti container, consulta Utilizzare i secret.
- Per un elenco di altri prodotti Google Cloud che si integrano con Secret Manager, consulta Utilizzo di Secret Manager con altri prodotti.
- Per scoprire come integrare Secret Manager con il tuo ambiente di sviluppo, consulta i vari esempi disponibili nella pagina Tutti gli esempi di codice di Secret Manager.