Configurare la modalità di applicazione forzata del protocollo SSL nelle istanze AlloyDB

Questa pagina mostra come configurare la modalità di applicazione SSL sulle istanze AlloyDB per PostgreSQL.

Per impostazione predefinita, un'istanza AlloyDB accetta solo connessioni che utilizzano SSL.

AlloyDB utilizza SSL per stabilire connessioni sicure, autenticate e criptate alle istanze AlloyDB. Inoltre, una modalità di applicazione SSL configurabile garantisce che tutte le connessioni di database a un'istanza utilizzino la crittografia SSL.

Questo argomento spiega come configurare la modalità di applicazione SSL su un'istanza esistente. Per informazioni su come configurare la modalità di applicazione SSL quando crei un'istanza, consulta Creare un'istanza principale.

Prima di iniziare

  • Il Google Cloud progetto che stai utilizzando deve essere stato abilitato per accedere ad AlloyDB.
  • Devi disporre di uno di questi ruoli IAM nel Google Cloud progetto che stai utilizzando:
    • roles/alloydb.admin (il ruolo IAM predefinito AlloyDB Admin)
    • roles/owner (il ruolo IAM di base Proprietario)
    • roles/editor (il ruolo IAM di base Editor)

    Se non disponi di uno di questi ruoli, contatta l'Amministratore organizzazione per richiedere l'accesso.

Configurare la modalità di applicazione SSL su un'istanza

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure puoi utilizzare Cloud Shell.

Console

  1. Vai alla pagina Cluster.

    Vai a Cluster

  2. Fai clic su un cluster nella colonna Nome risorsa.
  3. Nella pagina Panoramica , vai alla sezione Istanze nel cluster e fai clic su Modifica principale.
  4. Nel riquadro Modifica istanza principale, espandi Opzioni di configurazione avanzate.
  5. Attiva l'opzione Consenti solo connessioni SSL. Per impostazione predefinita, questa opzione è abilitata.
  6. Fai clic su Aggiorna istanza.

gcloud

Utilizza il gcloud alloydb instances update comando con l'argomento --ssl-mode=ENCRYPTED_ONLY per consentire solo connessioni di database criptate a un'istanza AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Sostituisci quanto segue:

  • INSTANCE_ID: l'ID dell'istanza che stai aggiornando.
  • REGION_ID: la regione in cui si trova l'istanza.
  • CLUSTER_ID: l'ID del cluster in cui si trova l'istanza.
  • PROJECT_ID: l'ID del progetto in cui si trova il cluster.

Per consentire connessioni di database non criptate a un'istanza, utilizza il comando gcloud alloydb instances update con l'argomento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se il comando restituisce un messaggio di errore che include la frase invalid cluster state MAINTENANCE, significa che il cluster è in fase di manutenzione di routine. In questo caso, la riconfigurazione dell'istanza non è consentita temporaneamente. Esegui di nuovo il comando dopo che il cluster torna allo stato READY. Per controllare lo stato del cluster, consulta Visualizzare i dettagli del cluster.