Esta página descreve como usar a gestão de identidade e de acesso (IAM) para gerir o acesso às suas bases de dados do AlloyDB.
Conceitos de autenticação da IAM
Quando usa a autenticação IAM, a autorização para aceder a uma instância do AlloyDB não é concedida diretamente ao utilizador final. Em alternativa, as autorizações são agrupadas em funções e as funções são concedidas a responsáveis. Para mais informações, consulte a vista geral do IAM.
Os administradores que têm utilizadores a iniciar sessão através da autenticação da base de dados do IAM podem usar o IAM para gerir centralmente o controlo de acesso às respetivas instâncias através de políticas do IAM.
As políticas IAM envolvem as seguintes entidades:
Principais. No AlloyDB, pode usar uma conta de utilizador ou uma conta de serviço (para aplicações). Para mais informações, consulte o artigo Diretores.
Funções. Para a autenticação da base de dados do IAM, um principal requer a autorização alloydb.instances.login. Esta autorização está incluída na função de cliente do AlloyDB (
roles/alloydb.client). Para receber esta autorização, associa o utilizador, a conta de serviço ou o grupo à função predefinida ou a uma função personalizada que inclua a autorização. Para mais informações, consulte o artigo Autorizações e funções.Recurso. Os recursos aos quais os principais acedem são instâncias do AlloyDB. Por predefinição, as associações de políticas de IAM são aplicadas ao nível do projeto, de modo que os principais recebem autorizações de funções para todas as instâncias do AlloyDB no projeto. Para mais informações, consulte a secção Recursos.
Compare as opções de autenticação de bases de dados
Use a tabela seguinte para ajudar a decidir qual o método de autenticação mais adequado para o seu exemplo de utilização.
| Funcionalidade | Autenticação da base de dados incorporada | Autenticação da base de dados de IAM (individual) |
|---|---|---|
| Método de autenticação | Palavra-passe | Token de autenticação temporário |
| Encriptação do tráfego de rede | SSL não necessário | SSL necessário |
| Gestão de utilizadores | Manual | Centralizada através da IAM |
Autenticação da base de dados IAM automática versus manual
O AlloyDB oferece dois métodos para a autenticação de base de dados da IAM: automática e manual.
Autenticação automática da base de dados de IAM
A autenticação automática da base de dados do IAM permite-lhe transferir o pedido e a gestão de tokens de acesso para um conetor do AlloyDB intermediário, como o proxy de autenticação ou um dos conetores de linguagem.
Com a autenticação automática da base de dados de IAM, uma aplicação só precisa de transmitir o nome de utilizador da base de dados de IAM num pedido de ligação do cliente. O conetor envia as informações do token de acesso para o atributo de palavra-passe em nome do cliente.
Autenticação manual da base de dados de IAM
A autenticação manual da base de dados da IAM requer que o principal da IAM transmita explicitamente o token de acesso para o atributo de palavra-passe no pedido de ligação do cliente. Os principais têm de iniciar sessão primeiro Google Cloud e pedir explicitamente o token de acesso ao IAM.
Condições de IAM e registos de auditoria
As condições da IAM permitem-lhe conceder funções com base numa variedade de atributos. Por exemplo, pode permitir o acesso apenas em determinadas datas e horas ou conceder acesso apenas a recursos do AlloyDB com determinados nomes.
Para manter registos do acesso a dados, incluindo inícios de sessão, pode usar os registos de auditoria na nuvem. O Cloud Audit Logs está desativado por predefinição. Tem de ativar os registos de auditoria de acesso a dados para o acompanhamento de inícios de sessão.
Restrições e práticas recomendadas
Por motivos de segurança, os inícios de sessão através da autenticação da base de dados do IAM só estão disponíveis numa ligação SSL. As associações não encriptadas são rejeitadas.
Existe uma quota de início de sessão por minuto para cada instância, que inclui inícios de sessão com e sem êxito. Quando a quota é excedida, os inícios de sessão ficam temporariamente indisponíveis. Recomendamos que evite inícios de sessão frequentes e restrinja os inícios de sessão através de redes autorizadas.