Eseguire la connessione utilizzando un account IAM

Questa pagina spiega la procedura di accesso a un'istanza AlloyDB per PostgreSQL utilizzando un account preparato con Identity and Access Management (IAM). Illustra il processo mostrando come eseguire un accesso basato su IAM utilizzando il client a riga di comando psql.

Per una panoramica della connessione alle istanze AlloyDB, vedi Panoramica della connessione.

Prima di iniziare

Il progetto, il cluster, le istanze e gli account utente IAM richiedono tutti una preparazione prima di poter accedere a un'istanza AlloyDB utilizzando le credenziali IAM.

Per saperne di più, consulta Gestire l'autenticazione IAM.

Autenticarsi con un token OAuth 2.0

Un utente o un'applicazione può autenticarsi con un database AlloyDB seguendo questi passaggi:

  1. Se non l'hai ancora fatto, autorizza Google Cloud CLI utilizzando lo stesso utente o account di servizio con cui vuoi accedere alla tua istanza AlloyDB.

  2. Richiedi un token OAuth 2.0 da Google Cloud utilizzando il gcloud auth print-access-token comando:

    gcloud auth print-access-token

    Google Cloud stampa un token OAuth 2.0 come output di questo comando.

    Per una maggiore sicurezza, puoi limitare l'utilizzo del token solo all'autenticazione AlloyDB seguendo questi passaggi alternativi:

    1. Aggiungi l'ambito alloydb.login alle credenziali di accesso dell'ambiente attuale utilizzando il comando gcloud auth application-default login, se non l'hai già fatto:

      gcloud auth application-default login --scopes=https://www.googleapis.com/auth/alloydb.login,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/userinfo.email,openid

    2. Stampa un token OAuth 2.0 con limitazioni utilizzando il comando gcloud auth application-default print-access-token, limitando l'ambito del token solo all'autenticazione AlloyDB:

      gcloud auth application-default print-access-token –-scopes=https://www.googleapis.com/auth/alloydb.login

    Il token OAuth 2.0 consente a te o a chiunque altro di effettuare richieste autenticate a Google Cloud per tuo conto. Tratta il token con lo stesso livello di sicurezza di una password. Conserva il token in modo sicuro o evita di memorizzarlo. L'esempio di utilizzo di psql più avanti in questa pagina mostra un modo per richiedere, utilizzare ed eliminare un token OAuth 2.0 in una singola azione.

  3. Accedi a un'istanza AlloyDB con tecniche PostgreSQL standard, utilizzando queste credenziali:

    • Presenta il token di accesso acquisito nel passaggio precedente come password.

    • Per un account utente IAM, il nome utente del database è l'indirizzo email completo dell'account.

    • Per un account di servizio IAM, il nome utente del database è l'indirizzo email dell'account senza il suffisso .gserviceaccount.com.

Il seguente comando psql mostra un modo per accedere a un utente IAM dalla riga di comando. Assegna l'output di gcloud auth print-access-token alla variabile di ambiente PGPASSWORD, che psql utilizza successivamente come password di accesso al database.

PGPASSWORD=$(gcloud auth print-access-token) psql \
  -h INSTANCE_ADDRESS \
  -U USERNAME \
  -d DATABASE

Sostituisci quanto segue:

  • INSTANCE_ADDRESS: l'indirizzo IP dell'istanza AlloyDB a cui connettersi.

  • USERNAME: un identificatore per l'utente IAM da autenticare con l'istanza.

    Per un account utente IAM, fornisci l'indirizzo email completo dell'account utente. Ad esempio, kai@altostrat.com.

    Per un account di servizio IAM, fornisci l'indirizzo del account di servizio senza il suffisso .gserviceaccount.com. Ad esempio, per specificare il account di servizio my-service@my-project.iam.gserviceaccount.com, devi utilizzare il valore my-service@my-project.iam qui.

  • DATABASE: il nome del database a cui connettersi.

Tieni presente che psql tronca le password inserite nella riga di comando che superano i 100 caratteri. Per utilizzare psql con un token OAuth 2.0 come password di accesso, devi impostare la variabile di ambiente PGPASSWORD come mostrato in questo esempio, anziché incollarla manualmente quando ti viene richiesto.

Autenticarsi automaticamente

Per autenticare automaticamente un utente AlloyDB basato su IAM senza la necessità di un token OAuth 2.0, hai due opzioni: proxy di autenticazione AlloyDB e connettori dei linguaggi AlloyDB.

L'account IAM che utilizzi per eseguire il client proxy o i connettori di lingua deve essere lo stesso account che hai aggiunto come utente del database. Ad esempio, se esegui il tuo workload utilizzando l'account utente IAM kai@altostrat.com, puoi utilizzare il client proxy o i connettori di linguaggio per autenticare automaticamente l'utente del database kai@altostrat.com senza specificare un token OAuth 2.0. In questo esempio, l'autenticazione automatica non funziona con nessun altro utente del database, ad eccezione di kai@altostrat.com.

Proxy di autenticazione

L'utilizzo del proxy di autenticazione richiede l'esecuzione del client proxy di autenticazione AlloyDB con il flag --auto-iam-authn abilitato.

Per saperne di più sull'esecuzione del proxy di autenticazione, consulta la sezione Connettersi utilizzando il proxy di autenticazione AlloyDB.

Connettori dei linguaggi

L'utilizzo dei connettori linguistici richiede l'attivazione dell'autenticazione IAM a livello di programmazione. Esiste un'opzione corrispondente per ogni lingua in Configura i connettori linguistici di AlloyDB.

Risolvere i problemi relativi all'autenticazione IAM

Per determinare la causa di un tentativo di autenticazione basato su IAM non riuscito:

  1. Nella console Google Cloud , vai alla pagina Esplora log:

    Vai a Esplora log

  2. In Tipo di risorsa, fai clic su Istanza AlloyDB.

  3. In Gravità, fai clic su Avviso.

    Se Avviso non è un'opzione, significa che non sono stati registrati errori di autenticazione nell'intervallo di tempo selezionato. Potrebbe essere necessario regolare la finestra utilizzando i controlli di Esplora log.

  4. In Risultati delle query, controlla le voci di log per uno dei seguenti messaggi:

    Request had invalid authentication credentials.
    Il token di accesso non è valido.
    Caller does not have required permission to use project.
    L'entità IAM non dispone dei ruoli IAM necessari o delle autorizzazioni. Il messaggio di errore completo specifica i ruoli o le autorizzazioni mancanti.
    IAM principal does not match database user.

    L'entità IAM autenticata specificata dal token di accesso non corrisponde all'utente database con cui vuoi connetterti.

    Per visualizzare l'entità specificata dal token, esegui questo comando:

    curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=ACCESS_TOKEN" https://www.googleapis.com/oauth2/v1/tokeninfo

    Sostituisci ACCESS_TOKEN con il token di accesso OAuth 2.0.

    Request had insufficient scopes.
    Il token di accesso non contiene l'ambito alloydb.login o l'ambito cloud-platform. È obbligatorio almeno uno di questi ambiti.

Passaggi successivi