Utilizza un'autorità di certificazione (CA) gestita dal cliente

Questa pagina descrive come utilizzare l'opzione dell'autorità di certificazione (CA) gestita dal cliente come modalità CA server per l'istanza Cloud SQL.

Panoramica

Con l'opzione CA gestita dal cliente, configuri il tuo pool di CA e la tua CA in Certificate Authority Service (CA Service). Quando selezioni l'opzione CA gestita dal cliente, configuri la gerarchia CA e gestisci la rotazione dei certificati CA per le tue istanze Cloud SQL.

Prima di poter creare un'istanza Cloud SQL con l'opzione CA gestita dal cliente, crea un pool di CA nella stessa regione dell'istanza e almeno una CA in quel pool utilizzando il servizio CA. La CA può essere una CA radice o una CA subordinata. Hai anche la possibilità di creare una CA subordinata in CA Service e poi concatenarla a una CA radice esterna. Quando crei l'istanza, specifichi il pool di CA. La tua richiesta viene delegata a un account di servizio specifico del progetto, che ha l'autorizzazione per utilizzare il pool di CA. L'account di servizio richiede una CA dal pool e Cloud SQL utilizza questa CA per firmare il certificato server per l'istanza.

Per la modalità CA server per l'istanza in Cloud SQL, puoi scegliere tra le seguenti tre opzioni:

• CA interna per istanza
• CA condivisa gestita da Google
• CA gestita dal cliente

Potresti scegliere l'opzione CA gestita dal cliente se devi gestire la tua CA per motivi di conformità. Per saperne di più sull'utilizzo delle altre opzioni, consulta Autorizzazione con certificati SSL/TLS.

Flusso di lavoro

Per utilizzare l'opzione CA gestita dal cliente, il flusso di lavoro è il seguente:

1. Crea un account di servizio per il tuo progetto Cloud SQL.
2. Crea un pool di CA nel servizio CA.
3. Crea una CA in CA Service.
4. Crea un'istanza Cloud SQL che utilizza l'autorità di certificazione. Quando crei l'istanza, deleghi l'autorizzazione al account di servizio per firmare il certificato del server con il pool di CA che hai creato.

Prima di iniziare

Prima di utilizzare l'opzione CA gestita dal cliente, assicurati di soddisfare i seguenti requisiti.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per creare un account di servizio specifico per Cloud SQL, chiedi all'amministratore di concederti il ruolo IAM Creazione account di servizio (roles/iam.serviceAccountCreator) per ogni singolo progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Per ottenere le autorizzazioni necessarie per creare un pool di CA e una CA, chiedi all'amministratore di concederti il ruolo IAM CA Service Operation Manager(roles/privateca.caManager) nel servizio CA. Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Crea un account di servizio specifico per il progetto

Nel progetto in cui prevedi di creare le istanze Cloud SQL, crea un account di servizio dedicato che gestirà la richiesta di creazione e firma dei certificati del server per le istanze Cloud SQL.

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Crea un pool di CA

Crea un pool di CA nel servizio CA.

Puoi creare un pool di CA nello stesso progetto in cui prevedi di creare le istanze Cloud SQL oppure puoi creare il pool di CA in un progetto diverso. Tuttavia, se crei il pool di CA in un progetto diverso, i Controlli di servizio VPC potrebbero impedirti di creare istanze Cloud SQL a seconda delle norme dell'organizzazione. Per risolvere il problema, assicurati che il progetto che ospita il pool di CA e la CA e il progetto che ospita Cloud SQL appartengano allo stesso perimetro di servizio. Per saperne di più, vedi Perimetri di servizio e Gestire i perimetri di servizio.

Per creare un pool di CA, segui le istruzioni riportate in Creare un pool di CA. Puoi accettare i valori predefiniti per il pool di CA, con le seguenti impostazioni di configurazione obbligatorie:

• Crea il pool di CA nella stessa regione in cui prevedi di creare l'istanza Cloud SQL. Per un elenco delle regioni supportate da Cloud SQL, consulta Regioni.
• Consenti richieste di certificati basate sulla configurazione.
• Consenti nomi DNS nei nomi alternativi del soggetto (SAN). Quando configuri i vincoli di identità del pool di CA, non impostare restrizioni sul formato per i nomi DNS che potrebbero entrare in conflitto con ciò che Cloud SQL potrebbe aggiungere al SAN.

Fornisci al account di servizio l'accesso al pool di CA

Per assicurarti che il account di servizio disponga delle autorizzazioni per richiedere e firmare i certificati per le tue istanze Cloud SQL, concedi il seguente ruolo aaccount di serviziont per il pool di CA che hai creato:

• roles/privateca.certificateRequester

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Crea una CA nel pool di CA

Crea almeno una CA nel pool di CA che hai creato.

Puoi creare un'autorità di certificazione principale o un'autorità di certificazione subordinata.

Per creare una CA radice, segui le istruzioni riportate in Creare una CA radice. Puoi accettare i valori predefiniti per la CA, ma assicurati di creare la CA nello stato Attivata.

Se crei una CA subordinata, devi prima creare e configurare la CA radice.

• Per creare una CA secondaria in CA Service, segui le istruzioni riportate nella sezione Crea una CA secondaria.

• Per creare una CA subordinata da una CA radice esterna, segui le istruzioni riportate in Crea una CA subordinata da una CA radice esterna.

Crea un'istanza Cloud SQL

Per creare un'istanza Cloud SQL che utilizza l'opzione CA gestita dal cliente, fai quanto segue.

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Risoluzione dei problemi