Questa pagina descrive come utilizzare Identity and Access Management (IAM) per gestire l'accesso ai database AlloyDB.
Concetti di autenticazione IAM
Quando utilizzi l'autenticazione IAM, l'autorizzazione per accedere a un'istanza AlloyDB non viene concessa direttamente all'utente finale. Le autorizzazioni sono invece raggruppate in ruoli, che vengono concessi alle entità. Per saperne di più, consulta la panoramica di IAM.
Gli amministratori che fanno accedere gli utenti tramite l'autenticazione IAM dei database possono utilizzare IAM per gestire centralmente il controllo dell'accesso dell'accesso alle proprie istanze utilizzando i criteri IAM.
I criteri IAM coinvolgono le seguenti entità:
Dirigenti scolastici. In AlloyDB, puoi utilizzare un account utente o un account di servizio (per le applicazioni). Per saperne di più, consulta Entità.
Ruoli. Per l'autenticazione IAM dei database, un'entità richiede l'autorizzazione alloydb.instances.login. Questa autorizzazione è inclusa nel ruolo Client AlloyDB (
roles/alloydb.client). Per ottenere questa autorizzazione, devi associare l'utente, il account di servizio o il gruppo al ruolo predefinito o a un ruolo personalizzato che include l'autorizzazione. Per saperne di più, consulta Autorizzazioni e ruoli.Risorsa. Le risorse a cui accedono le entità sono istanze AlloyDB. Per impostazione predefinita, i binding dei criteri IAM vengono applicati a livello di progetto, in modo che le entità ricevano le autorizzazioni del ruolo per tutte le istanze AlloyDB del progetto. Per saperne di più, consulta Risorse.
Confronta le opzioni di autenticazione del database
Utilizza la seguente tabella per decidere quale metodo di autenticazione è più adatto al tuo caso d'uso.
| Funzionalità | Autenticazione del database integrata | Autenticazione IAM dei database (individuale) |
|---|---|---|
| Metodo di autenticazione | Password | Token di autenticazione temporaneo |
| Crittografia del traffico di rete | SSL non richiesto | SSL obbligatorio |
| Gestione utenti | Manuale | Centralizzato tramite IAM |
Autenticazione IAM dei database automatica e manuale
AlloyDB offre due metodi per l'autenticazione IAM dei database: automatica e manuale.
Autenticazione IAM dei database automatica
L'autenticazione automatica del database IAM ti consente di trasferire la richiesta e la gestione dei token di accesso a un connettore AlloyDB intermedio, come il proxy di autenticazione o uno dei connettori dei linguaggi.
Con l'autenticazione IAM dei database automatica, un'applicazione deve trasmettere solo il nome utente del database IAM in una richiesta di connessione dal client. Il connettore invia le informazioni sul token di accesso per l'attributo password per conto del cliente.
Autenticazione IAM dei database manuale
L'autenticazione manuale del database IAM richiede che l'entità IAM trasmetta esplicitamente il token di accesso per l'attributo password nella richiesta di connessione client. Le entità devono prima accedere a Google Cloud e richiedere esplicitamente il token di accesso da IAM.
Condizioni IAM e log di controllo
Le condizioni IAM ti consentono di concedere ruoli in base a una serie di attributi. Ad esempio, puoi consentire l'accesso solo in determinate date e ore o concedere l'accesso solo alle risorse AlloyDB con determinati nomi.
Per conservare i record di accesso ai dati, inclusi gli accessi, puoi utilizzare Cloud Audit Logs. Cloud Audit Logs è disattivato per impostazione predefinita. Per il monitoraggio degli accessi, devi attivare gli audit log di accesso ai dati.
Limitazioni e best practice
Per motivi di sicurezza, gli accessi che utilizzano l'autenticazione del database IAM sono disponibili solo su una connessione SSL. Le connessioni non criptate vengono rifiutate.
Per ogni istanza è prevista una quota di accesso al minuto, che include sia gli accessi riusciti che quelli non riusciti. Quando la quota viene superata, gli accessi non sono temporaneamente disponibili. Ti consigliamo di evitare accessi frequenti e di limitare gli accessi utilizzando reti autorizzate.