Configurar o modo de aplicação de SSL em instâncias do AlloyDB

Nesta página, mostramos como configurar o modo de aplicação de SSL em instâncias do AlloyDB para PostgreSQL.

Por padrão, uma instância do AlloyDB aceita apenas conexões que usam SSL.

O AlloyDB usa SSL para estabelecer conexões seguras, autenticadas e criptografadas com as instâncias do AlloyDB. Além disso, um modo de aplicação de SSL configurável garante que todas as conexões de banco de dados com uma instância usem criptografia SSL.

Este tópico aborda como configurar o modo de aplicação de SSL em uma instância atual. Para informações sobre como configurar o modo de aplicação de SSL ao criar uma instância, consulte criar uma instância principal.

Antes de começar

  • O projeto do Google Cloud que você está usando precisa ter sido ativado para acessar o AlloyDB.
  • Você precisa ter um destes papéis do IAM no Google Cloud projeto que está sendo usado:
    • roles/alloydb.admin (o papel predefinido do IAM de Admin do AlloyDB)
    • roles/owner (o papel básico do IAM de Proprietário)
    • roles/editor (o papel básico do IAM de Editor)

    Se você não tiver nenhum desses papéis, entre em contato com o Administrador da organização para solicitar o acesso.

Configurar o modo de aplicação obrigatória de SSL em uma instância

Para usar a CLI gcloud, você pode instalar e inicializar a Google Cloud CLI ou usar o Cloud Shell.

Console

  1. Acesse a página Clusters.

    Acessar Clusters

  2. Clique em um cluster na coluna Nome do recurso.
  3. Na página Visão geral, acesse a seção Instâncias no cluster e clique em Editar instância principal.
  4. No painel Editar instância principal, expanda Opções de configuração avançadas.
  5. Ative a opção Permitir somente conexões SSL. Por padrão, essa opção fica ativada.
  6. Clique em Atualizar instância.

gcloud

Use o comando gcloud alloydb instances update com o argumento --ssl-mode=ENCRYPTED_ONLY para permitir apenas conexões de banco de dados criptografadas a uma instância do AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Substitua:

  • INSTANCE_ID: o ID da instância que você está atualizando.
  • REGION_ID: a região em que a instância está localizada.
  • CLUSTER_ID: o ID do cluster em que a instância está localizada.
  • PROJECT_ID: o ID do projeto em que o cluster está localizado.

Para permitir conexões de banco de dados não criptografadas a uma instância, use o comando gcloud alloydb instances update com o argumento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Se o comando retornar uma mensagem de erro que inclua a frase invalid cluster state MAINTENANCE, o cluster está passando por manutenção de rotina. Isso impede temporariamente a reconfiguração da instância. Execute o comando novamente depois que o cluster retornar ao estado READY. Para verificar o status do cluster, consulte Ver detalhes do cluster.