Configurar el modo de aplicación de SSL en instancias de AlloyDB

En esta página se muestra cómo configurar el modo de aplicación de SSL en instancias de AlloyDB para PostgreSQL.

De forma predeterminada, una instancia de AlloyDB solo acepta conexiones que usen SSL.

AlloyDB usa SSL para establecer conexiones seguras, autenticadas y cifradas con las instancias de AlloyDB. Además, un modo de aplicación de SSL configurable asegura que todas las conexiones de base de datos a una instancia utilicen el cifrado SSL.

En este tema se explica cómo configurar el modo de aplicación de SSL en una instancia. Para obtener información sobre cómo configurar el modo de aplicación de SSL al crear una instancia, consulte Crear una instancia principal.

Antes de empezar

  • El Google Cloud proyecto que estés usando debe tener habilitado el acceso a AlloyDB.
  • Debes tener uno de estos roles de gestión de identidades y accesos en el Google Cloud proyecto que estés usando:
    • roles/alloydb.admin (el rol de gestión de identidades y accesos predefinido de AlloyDB)
    • roles/owner (el rol básico de propietario de gestión de identidades y accesos)
    • roles/editor (el rol básico de gestión de identidades y accesos Editor)

    Si no tienes ninguno de estos roles, ponte en contacto con el administrador de tu organización para solicitar acceso.

Configurar el modo de aplicación de SSL en una instancia

Para usar la CLI de gcloud, puedes instalar e inicializar Google Cloud CLI o usar Cloud Shell.

Consola

  1. Ve a la página Clústeres.

    Ir a Clústeres

  2. Haga clic en un clúster de la columna Nombre del recurso.
  3. En la página Resumen, ve a la sección Instancias de tu clúster y haz clic en Editar principal.
  4. En el panel Editar instancia principal, despliega Opciones de configuración avanzada.
  5. Habilita Permitir solo conexiones SSL. Esta opción está habilitada de forma predeterminada.
  6. Haz clic en Actualizar instancia.

gcloud

Usa el comando gcloud alloydb instances update con el argumento --ssl-mode=ENCRYPTED_ONLY para permitir que solo las conexiones de base de datos cifradas se conecten a una instancia de AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Haz los cambios siguientes:

  • INSTANCE_ID: el ID de la instancia que quieres actualizar.
  • REGION_ID: la región en la que se coloca la instancia.
  • CLUSTER_ID: el ID del clúster en el que se coloca la instancia.
  • PROJECT_ID: el ID del proyecto en el que se encuentra el clúster.

Para permitir conexiones de bases de datos sin encriptar a una instancia, usa el comando gcloud alloydb instances update con el argumento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Si el comando devuelve un mensaje de error que incluye la frase invalid cluster state MAINTENANCE, significa que el clúster está en proceso de mantenimiento rutinario. De esta forma, se inhabilitará temporalmente la reconfiguración de la instancia. Vuelve a ejecutar el comando cuando el clúster vuelva al estado READY. Para comprobar el estado del clúster, consulta Ver los detalles del clúster.