アクセス制御について

このページでは、Cloud SQL インスタンスの 2 つのレベルのアクセス制御について説明します。インスタンスを管理する前に、両方のレベルのアクセス制御を構成する必要があります。

アクセス制御のレベル

アクセス制御の構成とは、誰がまたは何がインスタンスにアクセスできるかを制御することです。アクセス制御には 2 つのレベルがあります。

インスタンスレベル アクセス
インスタンスレベル アクセスにより、App Engine スタンダード環境や外部で実行中のアプリケーションまたはクライアントから、あるいは Compute Engine など別の Google Cloud サービスから、Cloud SQL インスタンスへのアクセスが承認されます。
データベース アクセス
データベース アクセスでは、 PostgreSQL ロールを使用して、PostgreSQL ユーザーがインスタンス内のデータにアクセスできるようにします。

インスタンスレベル アクセス

インスタンスレベル アクセスの構成方法は、どこからの接続かによって異なります。
接続元 アクセス設定オプション 詳細
Compute Engine
  • Cloud SQL Auth Proxy
  • 静的 IP アドレスを承認
Google Kubernetes Engine(GKE)
  • Cloud SQL Auth Proxy Docker イメージ
  • プライベート IP
  • パブリック IP を使用する場合、Cloud SQL Auth Proxy は必須
App Engine スタンダード環境
  • 同じプロジェクト: IAM の構成
  • プロジェクト間: IAM の構成
App Engine フレキシブル環境
  • 同じプロジェクト: 事前構成
  • プロジェクト間: IAM の構成
Cloud Run 関数
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成
Cloud Run
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成

データベース アクセス

データベース インスタンスに接続したユーザーまたはアプリケーションは、ユーザー アカウントまたはサービス アカウントを使用してログインする必要があります。Cloud SQL インスタンスの作成の一環として、デフォルト ユーザー(root)アカウントを設定します。さらにユーザーを追加して、インスタンスへのアクセスをきめ細かく制御することもできます。

詳細については、PostgreSQL ユーザーPostgreSQL ユーザーの作成と管理をご覧ください。

次のステップ