En esta página se describe cómo usar Gestión de Identidades y Accesos (IAM) para gestionar el acceso a tus bases de datos de AlloyDB.
Conceptos de autenticación de gestión de identidades y accesos
Cuando se usa la autenticación de IAM, el permiso para acceder a una instancia de AlloyDB no se concede directamente al usuario final. En su lugar, los permisos se agrupan en roles y los roles se asignan a principales. Para obtener más información, consulta la descripción general de IAM.
Los administradores que hayan configurado la autenticación de bases de datos de gestión de identidades y accesos para que los usuarios inicien sesión pueden usar la gestión de identidades y accesos para gestionar de forma centralizada el control de acceso a sus instancias mediante políticas de gestión de identidades y accesos.
Las políticas de gestión de identidades y accesos implican las siguientes entidades:
Directores. En AlloyDB, puedes usar una cuenta de usuario o una cuenta de servicio (para aplicaciones). Para obtener más información, consulta Principales.
Roles. En el caso de la autenticación de bases de datos de gestión de identidades y accesos, un principal necesita el permiso alloydb.instances.login. Este permiso se incluye en el rol Cliente de AlloyDB (
roles/alloydb.client). Para obtenerlo, debes vincular el usuario, la cuenta de servicio o el grupo al rol predefinido o a un rol personalizado que incluya el permiso. Para obtener más información, consulta Permisos y roles.Recurso. Los recursos a los que acceden las principales son instancias de AlloyDB. De forma predeterminada, los enlaces de políticas de gestión de identidades y accesos se aplican a nivel de proyecto, de modo que las entidades reciben permisos de rol para todas las instancias de AlloyDB del proyecto. Para obtener más información, consulta Recursos.
Comparar las opciones de autenticación de bases de datos
Usa la siguiente tabla para decidir qué método de autenticación se adapta mejor a tu caso práctico.
| Función | Autenticación de bases de datos integrada | Autenticación de bases de datos de gestión de identidades y accesos (individual) |
|---|---|---|
| Método de autenticación | Contraseña | Token de autenticación temporal |
| Cifrado del tráfico de red | No se requiere SSL | SSL obligatorio |
| Gestión de usuarios | Manual | Centralizada mediante la gestión de identidades y accesos |
Autenticación de bases de datos de gestión de identidades y accesos automática y manual
AlloyDB ofrece dos métodos para la autenticación de bases de datos de gestión de identidades y accesos: automático y manual.
Autenticación de bases de datos de gestión de identidades y accesos automática
La autenticación automática de la base de datos de gestión de identidades y accesos te permite delegar la solicitud y la gestión de tokens de acceso en un conector intermediario de AlloyDB, como Auth Proxy o uno de los conectores de lenguaje.
Con la autenticación de bases de datos de gestión de identidades y accesos automática, una aplicación solo tiene que enviar el nombre de usuario de la base de datos de gestión de identidades y accesos en una solicitud de conexión del cliente. El conector envía la información del token de acceso del atributo de contraseña en nombre del cliente.
Autenticación de bases de datos de gestión de identidades y accesos manual
La autenticación manual de la base de datos de IAM requiere que la principal de IAM transfiera explícitamente el token de acceso del atributo de contraseña en la solicitud de conexión del cliente. Los directores deben iniciar sesión en Google Cloud y solicitar explícitamente el token de acceso a IAM.
Condiciones de gestión de identidades y accesos y registros de auditoría
Las condiciones de gestión de identidades y accesos te permiten conceder roles en función de diversos atributos. Por ejemplo, puedes permitir el acceso solo en determinadas fechas y horas, o bien conceder acceso solo a los recursos de AlloyDB con determinados nombres.
Para mantener registros de acceso a datos, incluidos los inicios de sesión, puedes usar Cloud Audit Logs. Registros de auditoría de Cloud está desactivado de forma predeterminada. Debe activar los registros de auditoría de acceso a datos para hacer un seguimiento de los inicios de sesión.
Restricciones y prácticas recomendadas
Por motivos de seguridad, los inicios de sesión mediante la autenticación de bases de datos de gestión de identidades y accesos solo están disponibles en una conexión SSL. Se rechazan las conexiones no cifradas.
Hay una cuota de inicio de sesión por minuto para cada instancia, que incluye tanto los inicios de sesión correctos como los incorrectos. Cuando se supera la cuota, no se puede iniciar sesión temporalmente. Te recomendamos que evites iniciar sesión con frecuencia y que restrinjas los inicios de sesión mediante redes autorizadas.