Configura el modo de aplicación forzosa de SSL en instancias de AlloyDB

En esta página, se muestra cómo configurar el modo de aplicación de SSL en instancias de AlloyDB para PostgreSQL.

De forma predeterminada, una instancia de AlloyDB solo acepta conexiones que usan SSL.

AlloyDB usa SSL para establecer conexiones seguras, autenticadas y encriptadas a instancias de AlloyDB. Además, un modo de aplicación de SSL configurable garantiza que todas las conexiones de bases de datos a una instancia usen la encriptación SSL.

En este tema, se explica cómo configurar el modo de aplicación de SSL en una instancia existente. Para obtener información sobre cómo configurar el modo de aplicación de SSL cuando creas una instancia, consulta cómo crear una instancia principal.

Antes de comenzar

  • El proyecto Google Cloud que usas debe estar habilitado para acceder a AlloyDB.
  • Debes tener uno de estos roles de IAM en el proyecto Google Cloud que estás usando:
    • roles/alloydb.admin (el rol de IAM predefinido de administrador de AlloyDB)
    • roles/owner (el rol de IAM básico de propietario)
    • roles/editor (el rol básico de IAM de Editor)

    Si no tienes ninguno de estos roles, comunícate con el administrador de tu organización para solicitar acceso.

Configura el modo de aplicación de SSL en una instancia

Para usar gcloud CLI, puedes instalar y, luego, inicializar Google Cloud CLI, o bien usar Cloud Shell.

Console

  1. Ve a la página Clústeres.

    Ir a los clústeres

  2. Haz clic en un clúster en la columna Nombre del recurso.
  3. En la página Descripción general, ve a la sección Instancias en tu clúster y haz clic en Editar principal.
  4. En el panel Editar instancia principal, expande Opciones de configuración avanzadas.
  5. Habilita Solo permitir conexiones SSL. De forma predeterminada, esta opción está habilitada.
  6. Haz clic en Actualizar instancia.

gcloud

Usa el comando gcloud alloydb instances update con el argumento --ssl-mode=ENCRYPTED_ONLY para permitir solo conexiones de bases de datos encriptadas a una instancia de AlloyDB.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ENCRYPTED_ONLY

Reemplaza lo siguiente:

  • INSTANCE_ID: ID de la instancia que se actualizará.
  • REGION_ID: Es la región en la que se coloca la instancia.
  • CLUSTER_ID: Es el ID del clúster en el que se coloca la instancia.
  • PROJECT_ID: Es el ID del proyecto en el que se coloca el clúster.

Para permitir conexiones de bases de datos sin encriptar a una instancia, usa el comando gcloud alloydb instances update con el argumento --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED.

gcloud alloydb instances update INSTANCE_ID \
    --region=REGION_ID \
    --cluster=CLUSTER_ID \
    --project=PROJECT_ID \
    --ssl-mode=ALLOW_UNENCRYPTED_AND_ENCRYPTED

Si el comando devuelve un mensaje de error que incluye la frase invalid cluster state MAINTENANCE, significa que el clúster está en mantenimiento de rutina. Esto inhabilita temporalmente la reconfiguración de la instancia. Vuelve a ejecutar el comando después de que el clúster vuelva al estado READY. Para verificar el estado del clúster, consulta Cómo ver los detalles del clúster.