En esta página, se describe cómo usar Identity and Access Management (IAM) para administrar el acceso a tus bases de datos de AlloyDB.
Conceptos de autenticación de IAM
Cuando se usa la autenticación de IAM, el permiso para acceder a una instancia de AlloyDB no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en roles, y estos se otorgan a las principales. Para obtener más información, consulta la descripción general de IAM.
Los administradores que tienen usuarios que acceden a través de la autenticación de la base de datos de IAM pueden usar IAM para administrar de forma centralizada el control de acceso a sus instancias con políticas de IAM.
Las políticas de IAM involucran las siguientes entidades:
Principales En AlloyDB, puedes usar una cuenta de usuario o una cuenta de servicio (para aplicaciones). Para obtener más información, consulta Principales.
Funciones. Para la autenticación de la base de datos de IAM, un principal requiere el permiso alloydb.instances.login. Este permiso se incluye en el rol de cliente de AlloyDB (
roles/alloydb.client). Para obtener este permiso, debes vincular el usuario, la cuenta de servicio o el grupo al rol predefinido o a un rol personalizado que incluya el permiso. Para obtener más información, consulta Permisos y roles.Recurso. Los recursos a los que acceden los principales son instancias de AlloyDB. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que los principales reciban permisos de función para todas las instancias de AlloyDB en el proyecto. Para obtener más información, consulta Recursos.
Compara opciones de autenticación de base de datos
Usa la siguiente tabla para decidir qué método de autenticación se adapta mejor a tu caso de uso.
| Función | Autenticación de bases de datos integradas | Autenticación de la base de datos de IAM (individual) |
|---|---|---|
| Método de autenticación | Contraseña | Token de autenticación temporal |
| Encriptación del tráfico de red | No se requiere SSL | SSL requerido |
| Administración de usuarios | Manual | Centralizado a través de IAM |
Comparación entre la autenticación de bases de datos de IAM automática y manual
AlloyDB ofrece dos métodos para la autenticación de la base de datos de IAM: automática y manual.
Autenticación automática de la base de datos de IAM
La autenticación automática de la base de datos de IAM te permite transferir y administrar tokens de acceso para un conector de AlloyDB intermediario, como el proxy de autenticación o uno de los conectores de lenguaje.
Con la autenticación automática de la base de datos de IAM, una aplicación solo necesita pasar el nombre de usuario de la base de datos de IAM en una solicitud de conexión del cliente. El conector envía la información del token de acceso para el atributo de contraseña en nombre del cliente.
Autenticación manual de la base de datos de IAM
La autenticación manual de la base de datos de IAM requiere que el principal de IAM pase de forma explícita el token de acceso para el atributo de contraseña en la solicitud de conexión del cliente. Los principales primero deben acceder a Google Cloud y solicitar de forma explícita el token de acceso desde IAM.
Registros de auditoría y condiciones de IAM
Las condiciones de IAM te permiten otorgar roles basados en una variedad de atributos. Por ejemplo, puedes permitir el acceso solo en ciertas fechas y horas, o bien otorgar acceso solo a los recursos de AlloyDB con ciertos nombres.
Para mantener registros de acceso a los datos, incluidos los accesos, puedes usar los Registros de auditoría de Cloud. Los registros de auditoría de Cloud están desactivados de forma predeterminada. Debes activar los registros de auditoría de acceso a los datos para el seguimiento del acceso.
Restricciones y prácticas recomendadas
Por seguridad, los accesos que usan la autenticación de la base de datos de IAM solo están disponibles en una conexión SSL. Se rechazan las conexiones no encriptadas.
Hay una cuota de acceso por minuto para cada instancia, que incluye accesos exitosos y no exitosos. Cuando se supera la cuota, los accesos no están disponibles por el momento. Te recomendamos que evites los accesos frecuentes y que restrinjas los accesos a través de las redes autorizadas.