בדף הזה מוסבר איך משתמשים בניהול זהויות והרשאות גישה (IAM) כדי לנהל את הגישה למסדי נתונים של AlloyDB.
מושגים שקשורים לאימות ב-IAM
כשמשתמשים באימות IAM, הרשאת הגישה למופע AlloyDB לא ניתנת ישירות למשתמש הקצה. במקום זאת, ההרשאות מקובצות בתפקידים, והתפקידים מוקצים לישויות. מידע נוסף מופיע במאמר סקירה כללית על IAM.
אדמינים שמשתמשים באימות מסד נתונים של IAM כדי לאפשר למשתמשים להיכנס למכונות הווירטואליות שלהם יכולים להשתמש ב-IAM כדי לנהל באופן מרכזי את בקרת הגישה למופעים שלהם באמצעות כללי מדיניות של IAM.
כללי מדיניות IAM כוללים את הישויות הבאות:
חשבונות משתמש. ב-AlloyDB, אפשר להשתמש בחשבון משתמש או בחשבון שירות (לאפליקציות). מידע נוסף זמין במאמר בנושא חשבונות משתמשים.
תפקידים. כדי לבצע אימות מסד נתונים ב-IAM, לחשבון משתמש צריך להיות הרשאת alloydb.instances.login. ההרשאה הזו כלולה בתפקיד הלקוח של AlloyDB (
roles/alloydb.client). כדי לקבל את ההרשאה הזו, צריך לקשר את המשתמש, חשבון השירות או הקבוצה לתפקיד המוגדר מראש או לתפקיד בהתאמה אישית שכולל את ההרשאה. מידע נוסף זמין במאמר בנושא הרשאות ותפקידים.משאב. המשאבים שחשבונות המשתמשים ניגשים אליהם הם מופעי AlloyDB. כברירת מחדל, קישורי מדיניות IAM מוחלים ברמת הפרויקט, כך שחשבונות המשתמשים מקבלים הרשאות תפקיד לכל מופעי AlloyDB בפרויקט. מידע נוסף זמין במאמר משאבים.
השוואה בין אפשרויות אימות של מסד נתונים
כדי לבחור את שיטת האימות שמתאימה לתרחיש שלכם לדוגמה, אתם יכולים להיעזר בטבלה הבאה.
| תכונה | אימות מובנה של מסד נתונים | אימות מסד נתונים של IAM (אישי) |
|---|---|---|
| שיטת אימות | סיסמה | טוקן אימות זמני |
| הצפנה של תנועה ברשת | לא נדרש SSL | נדרש SSL |
| ניהול משתמשים | גלילה ידנית | ריכוז באמצעות IAM |
אימות אוטומטי לעומת אימות ידני של מסד נתונים של IAM
ב-AlloyDB יש שתי שיטות לאימות מסד נתונים של IAM: אוטומטית וידנית.
אימות אוטומטי של מסד נתונים של IAM
אימות אוטומטי של מסד נתונים ב-IAM מאפשר להעביר את הבקשה של טוקנים לגישה ואת הניהול שלהם למחבר AlloyDB מתווך, כמו Auth Proxy או אחד ממחברי השפה.
באימות אוטומטי של מסד נתונים של IAM, אפליקציה צריכה להעביר רק את שם המשתמש במסד הנתונים של IAM בבקשת חיבור מהלקוח. המחבר שולח את פרטי אסימון הגישה למאפיין הסיסמה בשם הלקוח.
אימות ידני של מסד נתונים ב-IAM
כדי לבצע אימות ידני של מסד נתונים של IAM, חשבון המשתמש ב-IAM צריך להעביר באופן מפורש את אסימון הגישה עבור מאפיין הסיסמה בבקשת החיבור של הלקוח. חשבונות המשתמש צריכים קודם להיכנס ל- Google Cloud ולבקש באופן מפורש את אסימון הגישה מ-IAM.
תנאים לניהול הזהויות והרשאות הגישה ויומני ביקורת
תנאים ב-IAM מאפשרים להעניק תפקידים על סמך מגוון מאפיינים. לדוגמה, אתם יכולים לאפשר גישה רק בתאריכים ובשעות מסוימות, או להעניק גישה רק למשאבי AlloyDB עם שמות מסוימים.
כדי לשמור רשומות של גישה לנתונים, כולל כניסות לחשבון, אפשר להשתמש ביומני הביקורת של Cloud. יומני הביקורת של Cloud מושבתים כברירת מחדל. כדי לעקוב אחרי כניסות לחשבון, צריך להפעיל את יומני הביקורת של Data Access.
הגבלות ושיטות מומלצות
מטעמי אבטחה, כניסות באמצעות אימות מסד נתונים של IAM זמינות רק בחיבור SSL. חיבורים לא מוצפנים נדחים.
לכל מופע יש מכסת כניסות לדקה, שכוללת כניסות מוצלחות וכניסות לא מוצלחות. אם חורגים מהמכסה, אי אפשר להיכנס לחשבון באופן זמני. מומלץ להימנע מכניסה לחשבון בתדירות גבוהה ולהגביל את הכניסות באמצעות רשתות מורשות.