בדף הזה מוסבר איך משתמשים בניהול הזהויות והרשאות הגישה (IAM) כדי לנהל את הגישה למסדי נתונים של AlloyDB.
מושגים שקשורים לאימות ב-IAM
כשמשתמשים באימות IAM, הרשאת הגישה למופע AlloyDB לא ניתנת ישירות למשתמש הקצה. במקום זאת, ההרשאות מקובצות בתפקידים, והתפקידים מוקצים לישויות. מידע נוסף מופיע במאמר סקירה כללית על IAM.
אדמינים שמשתמשים באימות מסד נתונים של IAM כדי לאפשר למשתמשים להיכנס למכונות הווירטואליות שלהם יכולים להשתמש ב-IAM כדי לנהל באופן מרכזי את בקרת הגישה למופעים שלהם באמצעות כללי מדיניות של IAM.
כללי מדיניות IAM כוללים את הישויות הבאות:
חשבונות משתמש. ב-AlloyDB, אפשר להשתמש בחשבון משתמש או בחשבון שירות (לאפליקציות). מידע נוסף זמין במאמר בנושא חשבונות משתמשים.
תפקידים. כדי לבצע אימות מסד נתונים ב-IAM, לחשבון המשתמש צריך להיות הרשאת alloydb.instances.login. ההרשאה הזו כלולה בתפקיד הלקוח של AlloyDB (
roles/alloydb.client). כדי לקבל את ההרשאה הזו, צריך לקשר את המשתמש, חשבון השירות או הקבוצה לתפקיד המוגדר מראש או לתפקיד בהתאמה אישית שכולל את ההרשאה. מידע נוסף זמין במאמר בנושא הרשאות ותפקידים.משאב. המשאבים שאליהם יש לחשבונות ראשיים גישה הם מופעי AlloyDB. כברירת מחדל, קישורי מדיניות IAM מוחלים ברמת הפרויקט, כך שחשבונות משתמשים מקבלים הרשאות תפקיד לכל מופעי AlloyDB בפרויקט. מידע נוסף זמין במאמר משאבים.
השוואה בין אפשרויות אימות של מסדי נתונים
כדי לבחור את שיטת האימות שמתאימה לתרחיש שלכם לדוגמה, אתם יכולים להיעזר בטבלה הבאה.
| תכונה | אימות מובנה של מסד נתונים | אימות מסד נתונים של IAM (אישי) |
|---|---|---|
| שיטת אימות | סיסמה | טוקן אימות זמני |
| הצפנת תנועה ברשת | לא נדרש SSL | נדרש SSL |
| ניהול משתמשים | גלילה ידנית | ריכוזי באמצעות IAM |
אימות אוטומטי לעומת אימות ידני של מסד נתונים של IAM
ב-AlloyDB יש שתי שיטות לאימות מסד נתונים של IAM: אוטומטית וידנית.
אימות אוטומטי של מסד נתונים של IAM
אימות אוטומטי של מסד נתונים ב-IAM מאפשר להעביר את הבקשה של טוקנים לגישה ואת הניהול שלהם למחבר AlloyDB מתווך, כמו Auth Proxy או אחד ממחברי השפה.
באימות אוטומטי של מסד נתונים של IAM, אפליקציה צריכה להעביר רק את שם המשתמש במסד הנתונים של IAM בבקשת חיבור מהלקוח. המחבר שולח את פרטי אסימון הגישה למאפיין הסיסמה בשם הלקוח.
אימות ידני של מסד נתונים ב-IAM
כדי לבצע אימות ידני של מסד נתוני IAM, חשבון המשתמש ב-IAM צריך להעביר במפורש את אסימון הגישה למאפיין הסיסמה בבקשת החיבור של הלקוח. חשבונות משתמשים צריכים קודם להיכנס ל- Google Cloud ולבקש באופן מפורש את אסימון הגישה מ-IAM.
תנאים לניהול הזהויות והרשאות הגישה ויומני ביקורת
תנאי IAM מאפשרים להעניק תפקידים על סמך מגוון מאפיינים. לדוגמה, אתם יכולים לאפשר גישה רק בתאריכים ובשעות מסוימים, או להעניק גישה רק למשאבי AlloyDB עם שמות מסוימים.
כדי לשמור רשומות של גישה לנתונים, כולל כניסות לחשבון, אפשר להשתמש ביומני הביקורת של Cloud. יומני הביקורת ב-Cloud מושבתים כברירת מחדל. כדי לעקוב אחרי הכניסות, צריך להפעיל את יומני הביקורת Data Access.
הגבלות ושיטות מומלצות
מטעמי אבטחה, כניסות באמצעות אימות מסד נתונים של IAM זמינות רק בחיבור SSL. חיבורים לא מוצפנים נדחים.
לכל מופע יש מכסת כניסה לדקה, שכוללת כניסות מוצלחות וכניסות לא מוצלחות. אם חורגים מהמכסה, אי אפשר להיכנס לחשבון באופן זמני. מומלץ להימנע מכניסה לחשבון בתדירות גבוהה ולהגביל את הכניסות באמצעות רשתות מורשות.