Halaman ini menjelaskan cara menggunakan Identity and Access Management (IAM) untuk mengelola akses ke database AlloyDB Anda.
Konsep autentikasi IAM
Saat menggunakan autentikasi IAM, izin untuk mengakses instance AlloyDB tidak diberikan langsung kepada pengguna akhir. Sebagai gantinya, izin dikelompokkan ke dalam peran, dan peran diberikan kepada akun utama. Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM.
Administrator yang memiliki pengguna yang login melalui autentikasi database IAM dapat menggunakan IAM untuk mengelola kontrol akses ke instance mereka secara terpusat menggunakan kebijakan IAM.
Kebijakan IAM mencakup entity berikut:
Akun utama. Di AlloyDB, Anda dapat menggunakan akun pengguna atau akun layanan (untuk aplikasi). Untuk mengetahui informasi selengkapnya, lihat Principal.
Peran. Untuk autentikasi database IAM, akun utama memerlukan izin alloydb.instances.login. Izin ini disertakan dalam peran Klien AlloyDB (
roles/alloydb.client). Untuk mendapatkan izin ini, Anda mengikat pengguna, akun layanan, atau grup ke peran bawaan atau peran kustom yang menyertakan izin tersebut. Untuk mengetahui informasi selengkapnya, lihat Izin dan peran.Resource. Resource yang diakses utama adalah instance AlloyDB. Secara default, binding kebijakan IAM diterapkan di level project, sehingga akun utama menerima izin peran untuk semua instance AlloyDB dalam project. Untuk mengetahui informasi selengkapnya, lihat Resource.
Membandingkan opsi autentikasi database
Gunakan tabel berikut untuk membantu Anda memutuskan metode autentikasi mana yang paling sesuai untuk kasus penggunaan Anda.
| Fitur | Autentikasi database bawaan | Autentikasi database IAM (individu) |
|---|---|---|
| Metode autentikasi | Sandi | Token autentikasi sementara |
| Enkripsi traffic jaringan | SSL tidak diperlukan | SSL diperlukan |
| Pengelolaan pengguna | Manual | Terpusat melalui IAM |
Autentikasi database IAM otomatis versus manual
AlloyDB menawarkan dua metode untuk autentikasi database IAM: otomatis dan manual.
Autentikasi database IAM otomatis
Autentikasi database IAM otomatis memungkinkan Anda menyerahkan permintaan dan pengelolaan token akses ke konektor AlloyDB perantara, seperti Auth Proxy atau salah satu Konektor Bahasa.
Dengan autentikasi database IAM otomatis, aplikasi hanya perlu meneruskan nama pengguna database IAM dalam permintaan koneksi dari klien. Konektor mengirimkan informasi token akses untuk atribut sandi atas nama klien.
Autentikasi database IAM manual
Autentikasi database IAM manual mengharuskan akun utama IAM secara eksplisit meneruskan token akses untuk atribut sandi dalam permintaan koneksi klien. Akun utama harus login ke Google Cloud terlebih dahulu dan secara eksplisit meminta token akses dari IAM.
Kondisi IAM dan log audit
Dengan kondisi IAM, Anda dapat memberikan peran berdasarkan berbagai atribut. Misalnya, Anda dapat mengizinkan akses hanya pada tanggal dan waktu tertentu atau memberikan akses hanya ke resource AlloyDB dengan nama tertentu.
Untuk menyimpan catatan akses data, termasuk proses login, Anda dapat menggunakan Cloud Audit Logs. Cloud Audit Logs dinonaktifkan secara default. Anda harus mengaktifkan log audit Akses Data untuk pelacakan login.
Batasan dan praktik terbaik
Untuk keamanan, login menggunakan autentikasi database IAM hanya tersedia di koneksi SSL. Koneksi yang tidak terenkripsi ditolak.
Terdapat kuota login per menit untuk setiap instance, yang mencakup login berhasil dan gagal. Jika kuota terlampaui, login tidak akan tersedia untuk sementara. Sebaiknya hindari login yang terlalu sering dan batasi login menggunakan jaringan yang diizinkan.