Utilizza un'autorità di certificazione (CA) gestita dal cliente

Questa pagina descrive come utilizzare l'opzione dell'autorità di certificazione (CA) gestita dal cliente come modalità dell'autorità di certificazione del server per l'istanza Cloud SQL.

Panoramica

Con l'opzione CA gestita dal cliente, puoi configurare il tuo pool di CA e la tua CA in Certificate Authority Service (CA Service). Quando selezioni l'opzione CA gestita dal cliente, configuri la gerarchia delle CA e gestisci la rotazione dei certificati CA per le tue istanze Cloud SQL.

Prima di poter creare un'istanza Cloud SQL con l'opzione CA gestita dal cliente, devi creare un pool di CA nella stessa regione dell'istanza e almeno una CA in quel pool utilizzando il servizio CA. L'autorità di certificazione può essere una autorità di certificazione principale o una autorità di certificazione subordinata. Hai anche la possibilità di creare una CA subordinata in CA Service e poi concatenarla a una CA radice esterna. Quando crei l'istanza, specifica il pool di CA. La richiesta viene delegata a un account di servizio specifico del progetto, che ha l'autorizzazione per utilizzare il pool CA. L'account di servizio richiede una CA dal pool e Cloud SQL utilizza questa CA per firmare il certificato del server per l'istanza.

Per la modalità CA del server per la tua istanza in Cloud SQL, puoi scegliere tra le tre opzioni seguenti:

• CA interna per istanza
• CA condivisa gestita da Google
• CA gestita dal cliente

Potresti scegliere l'opzione della CA gestita dal cliente se devi gestire la tua CA per motivi di conformità. Per saperne di più sull'utilizzo delle altre opzioni, consulta Autorizzazione con certificati SSL/TLS.

Flusso di lavoro

Per utilizzare l'opzione CA gestita dal cliente, il flusso di lavoro è il seguente:

1. Crea un account di servizio per il tuo progetto Cloud SQL.
2. Crea un pool di CA in CA Service.
3. Crea una CA in CA Service.
4. Crea un'istanza Cloud SQL che utilizza la CA. Quando crei l'istanza, deleghe all'account di servizio l'autorizzazione per firmare il certificato del server con il pool di CA che hai creato.

Prima di iniziare

Prima di utilizzare l'opzione della CA gestita dal cliente, assicurati di soddisfare i seguenti requisiti.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un account di servizio specifico per Cloud SQL, chiedi all'amministratore di concederti il ruolo IAM Creatore account di servizio (roles/iam.serviceAccountCreator) per ogni singolo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ottenere le autorizzazioni necessarie per creare un pool di CA e una CA, chiedi all'amministratore di concederti il ruolo IAM Gestore operazioni servizio CA(roles/privateca.caManager) nel servizio CA. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Creare un account di servizio specifico per il progetto

Nel progetto in cui prevedi di creare le istanze Cloud SQL, crea un account di servizio dedicato che gestirà la richiesta di creazione e firma dei certificati del server per le istanze Cloud SQL.

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Crea un pool di CA

Crea un pool di CA in CA Service.

Puoi creare un pool di CA nello stesso progetto in cui prevedi di creare le istanze Cloud SQL oppure in un progetto diverso. Tuttavia, se crei il pool di CA in un altro progetto, Controlli di servizio VPC potrebbe impedirti di creare istanze Cloud SQL, a seconda dei criteri dell'organizzazione. Per risolvere il problema, assicurati che il progetto che ospita il pool CA e la CA e il progetto che ospita Cloud SQL appartengano allo stesso perimetro di servizio. Per saperne di più, consulta Perimetri di servizio e Gestire i perimetri di servizio.

Per creare un pool di CA, segui le istruzioni riportate in Creare un pool di CA. Puoi accettare i valori predefiniti per il pool CA, con le seguenti impostazioni di configurazione obbligatorie:

• Crea il pool di CA nella stessa regione in cui prevedi di creare l'istanza Cloud SQL. Per un elenco delle regioni supportate da Cloud SQL, consulta Regioni.
• Consenti richieste di certificati basate sulla configurazione.
• Consenti i nomi DNS nei nomi alternativi dell'oggetto (SAN). Quando configuri i vincoli di identità del pool di CA, non impostare limitazioni sul formato dei nomi DNS che potrebbero essere in conflitto con ciò che Cloud SQL potrebbe aggiungere al SAN.
• Se configuri i vincoli di identità per il pool di CA, assicurati di consentire gli indirizzi IP come formato nella SAN.

Fornisci all'account di servizio l'accesso al pool CA

Per assicurarti che l'account di servizio disponga delle autorizzazioni per richiedere e firmare i certificati per le tue istanze Cloud SQL, concedi il seguente ruolo all'account di servizio per il pool CA che hai creato:

• roles/privateca.certificateRequester

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Crea una CA nel pool di CA

Crea almeno una CA nel pool di CA che hai creato.

Puoi creare un'autorità di certificazione principale o una subordinata.

Per creare una CA radice, segui le istruzioni riportate in Creare una CA radice. Puoi accettare i valori predefiniti per l'autorità di certificazione, ma assicurati di crearla nello stato Attivata.

Se crei una CA subordinata, devi prima creare e configurare la CA radice.

• Per creare una CA secondaria in CA Service, segui le istruzioni riportate in Creare una CA secondaria.

• Per creare una CA subordinata da una CA radice esterna, segui le istruzioni riportate in Creare una CA subordinata da una CA radice esterna.

Crea un'istanza Cloud SQL

Per creare un'istanza Cloud SQL che utilizza l'opzione CA gestita dal cliente, segui questi passaggi.

gcloud beta sql instances create "INSTANCE_NAME" \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Risoluzione dei problemi