Configurer le mode d'application du protocole SSL sur les instances AlloyDB

Cette page explique comment configurer le mode d'application SSL sur les instances AlloyDB pour PostgreSQL.

Par défaut, une instance AlloyDB n'accepte que les connexions utilisant SSL.

AlloyDB utilise SSL pour établir des connexions sécurisées, authentifiées et chiffrées vers les instances AlloyDB. De plus, un mode d'application SSL configurable garantit que toutes les connexions de base de données à une instance utilisent le chiffrement SSL.

Cette section explique comment configurer le mode d'application SSL sur une instance existante. Pour savoir comment configurer le mode d'application SSL lorsque vous créez une instance, consultez Créer une instance principale.

Avant de commencer

  • Le Google Cloud projet que vous utilisez doit avoir été activé pour accéder à AlloyDB.
  • Vous devez disposer de l'un des rôles IAM suivants dans le Google Cloud projet que vous utilisez :
    • roles/alloydb.admin (rôle IAM prédéfini d'administrateur AlloyDB)
    • roles/owner (rôle IAM de base de propriétaire)
    • roles/editor (rôle IAM de base d'éditeur)

    Si vous ne disposez d'aucun de ces rôles, contactez l'administrateur de votre organisation pour demander l'accès.

Configurer le mode d'application SSL sur une instance

Pour utiliser la gcloud CLI, vous pouvez installer et initialiser la Google Cloud CLI, ou vous pouvez utiliser Cloud Shell.

Console

  1. Accédez à la page Clusters.

    Accéder aux clusters

  2. Cliquez sur un cluster dans la colonne Nom de la ressource.
  3. Sur la page Présentation, accédez à la section Instances dans votre cluster, puis cliquez sur Modifier l'instance principale.
  4. Dans le volet Modifier l'instance principale, développez Options de configuration avancées.
  5. Activez Autoriser uniquement les connexions SSL. Cette option est activée par défaut.
  6. Cliquez sur Mettre à jour l'instance.

gcloud

Utilisez la gcloud alloydb instances update commande avec l'argument --ssl-mode=ENCRYPTED_ONLY pour autoriser uniquement les connexions de base de données chiffrées à une instance AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Remplacez les éléments suivants :

  • INSTANCE_ID : ID de l'instance que vous mettez à jour.
  • REGION_ID : région dans laquelle l'instance est placée.
  • CLUSTER_ID : ID du cluster dans lequel l'instance est placée.
  • PROJECT_ID : ID du projet dans lequel le cluster est placé.

Pour autoriser les connexions de base de données non chiffrées à une instance, utilisez la commande gcloud alloydb instances update avec l'argument --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Si la commande renvoie un message d'erreur contenant l'expression invalid cluster state MAINTENANCE, cela signifie que le cluster est en cours de maintenance de routine. Cela interdit temporairement la reconfiguration de l'instance. Exécutez à nouveau la commande une fois que le cluster est revenu à l'état READY. Pour vérifier l'état du cluster, consultez Afficher les détails du cluster.