IAM-Authentifizierung

Google Cloud bietet Identity and Access Management (IAM), mit dem Sie den Zugriff auf bestimmte Google Cloud Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern können. Auf dieser Seite wird beschrieben, wie Cloud SQL in IAM eingebunden ist und wie Sie IAM für die Verwaltung des Zugriffs auf Cloud SQL-Ressourcen und für die Datenbankauthentifizierung verwenden können. Eine ausführliche Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.

Cloud SQL bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Cloud SQL-Ressourcen steuern können. Sie können auch eigene benutzerdefinierte Rollen erstellen, wenn die vordefinierten Rollen keine Informationen zu den benötigten Gruppen von Berechtigungen enthalten. Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) nach wie vor zur Verfügung. Sie bieten aber nicht die gleiche präzisen Steuerungsmöglichkeiten wie die Cloud SQL-Rollen. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloudinsgesamt und nicht nur für Cloud SQL. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen. Google Cloud

Sie können eine IAM-Richtlinie auf jeder Ebene der Ressourcenhierarchie festlegen: der Organisationsebene, der Ordnerebene oder der Projektebene. Ressourcen übernehmen die Richtlinien aller ihrer übergeordneten Ressourcen.

IAM-Referenzen für Cloud SQL

• Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console
• Erforderliche Berechtigungen für gcloud sql-Befehle.
• Erforderliche Berechtigungen für Cloud SQL Admin API-Methoden
• Vordefinierte Cloud SQL-IAM-Rollen
• Berechtigungen und ihre Rollen
• Benutzerdefinierte Rollen

IAM-Authentifizierungskonzepte

Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Ressource (eine Cloud SQL-Instanz) nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.

Administratoren, bei denen sich Nutzer über die IAM-Datenbankauthentifizierung anmelden, können mit IAM die Zugriffssteuerung für ihre Instanzen zentral über IAM-Richtlinien verwalten.

IAM-Richtlinien umfassen die folgenden Entitäten:

• Hauptkonten. In Cloud SQL können Sie verschiedene Arten von IAM-Hauptkonten verwenden: Nutzerkonto, Dienstkonto (für Anwendungen) oder Gruppe. Weitere Informationen finden Sie unter Identitätskonzepte.
• Rollen: Eine Rolle ist eine Sammlung von Berechtigungen. Sie können Hauptkonten Rollen zuweisen, um ihnen die Berechtigungen zu gewähren, die für bestimmte Aufgaben erforderlich sind. Für die IAM-Datenbankauthentifizierung benötigt ein Hauptkonto beispielsweise die Berechtigung cloudsql.instances.login, um sich bei einer Instanz anzumelden. Diese Berechtigung ist in der Rolle Cloud SQL-Instanznutzer enthalten. Damit der Nutzer, das Dienstkonto oder die Gruppe die Berechtigung erhält, binden Sie ihn bzw. es an die vordefinierte Cloud SQL-Rolle oder an eine benutzerdefinierte Rolle, die die Berechtigung umfasst. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen.
• Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Cloud SQL-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Cloud SQL-Instanzen im Projekt erhalten.

Authentifizierung der IAM-Datenbank

Bei der Datenbankauthentifizierung wird die Identität eines Nutzers überprüft, der versucht, auf Datenbanken zuzugreifen. In Cloud SQL können Sie die folgenden Arten der Datenbankauthentifizierung für Datenbanknutzer verwenden:

• Die integrierte Authentifizierung der Datenbank verwendet einen Nutzernamen und ein Passwort, um einen Datenbanknutzer zu authentifizieren.
• Die IAM-Datenbankauthentifizierung verwendet IAM, um einen Nutzer mithilfe eines Zugriffstokens zu authentifizieren. Sie haben zwei Möglichkeiten, Nutzer oder Dienstkonten zu verwalten.
  • Einzelperson: Wenn Sie die IAM-Datenbankauthentifizierung verwenden, gewähren Sie standardmäßig IAM-Rollen und weisen einzelnen Nutzern und Dienstkonten Datenbankberechtigungen zu. Sie fügen Instanzen einzelne Konten hinzu und verwalten die Berechtigungen der einzelnen Konten separat.
  • Nach Gruppe: Mit der IAM-Gruppenauthentifizierung können Sie den Zugriff auf Cloud SQL-Instanzen auf Gruppenebene steuern. Sie können beispielsweise einer Cloud Identity-Gruppe Rollen für Identity and Access Management und Datenbankberechtigungen zuweisen. Alle Nutzer und Dienstkonten in der Cloud Identity-Gruppe übernehmen die IAM-Rollen und Datenbankberechtigungen, die der Gruppe zugewiesen sind.

Optionen für die Datenbankauthentifizierung vergleichen

In der folgenden Tabelle werden verschiedene Datenbankauthentifizierungsmethoden für Cloud SQL verglichen.

Feature	Integrierte Datenbankauthentifizierung	Authentifizierung der IAM-Datenbank (einzeln)	IAM-Gruppenauthentifizierung
Authentifizierungsmethode	Passwort	Temporäres Authentifizierungstoken	Temporäres Authentifizierungstoken
Verschlüsselung des Netzwerkverkehrs	SSL nicht erforderlich	SSL erforderlich	SSL erforderlich
Nutzerverwaltung	Manuell	Zentral über IAM	Zentralisiert über IAM- und Cloud Identity-Gruppen

IAM-Gruppenauthentifizierung

Mit der IAM-Gruppenauthentifizierung können Sie Cloud SQL-Nutzer auf Gruppenebene verwalten. Ein Beispiel für eine Gruppe ist eine Cloud Identity-Gruppe. Diese Funktion vereinfacht die Verwaltung von Datenbanknutzern. Sie können die Cloud SQL IAM-Rolle oder -Berechtigungen für mehrere Konten gleichzeitig verwalten, anstatt jeden Nutzer oder jedes Dienstkonto einzeln aktualisieren zu müssen. Sie können die Datenbankberechtigungen für eine Cloud Identity-Gruppe auch gewähren und widerrufen. Alle neuen Konten, die Sie der Cloud Identity-Gruppe hinzufügen, übernehmen die Berechtigungen dieser Gruppe.

Mit der IAM-Gruppenauthentifizierung haben Sie folgende Möglichkeiten:

• Fügen Sie einen Nutzer einer Gruppe hinzu, damit er automatisch seine IAM-Rollen und Datenbankberechtigungen übernimmt.
• Wenn Sie einen Nutzer aus einer Gruppe entfernen, wird sein Anmeldezugriff und seine Datenbankberechtigungen für Cloud SQL-Datenbanken entfernt.
• Sie brauchen Anmelde- oder Datenbankberechtigungen einer Gruppe nur einmal zu erteilen, anstatt sie verschiedenen Nutzern mehrmals erteilen zu müssen.
• Entfernen Sie Anmeldeberechtigungen oder den Zugriff auf ein Datenbankobjekt für eine Gruppe auf einmal.

IAM-Rollen und -Berechtigungen werden zwar auf Gruppenebene zugewiesen, Nutzer und Dienstkonten verwenden jedoch ihre individuellen IAM-Konten und ‑Anmeldedaten und nicht ein gemeinsam genutztes Gruppenkonto, um sich anzumelden. Cloud SQL erstellt nach der ersten Anmeldung ein Datenbankkonto auf der Instanz für diesen Nutzer oder dieses Dienstkonto.

Die einzelnen Anmelde- und Datenbankaktivitäten für jeden Nutzer oder jedes Dienstkonto werden in Audit-Logs erfasst. Für Prüfungszwecke können Sie nachvollziehen, welches Konto welche Aktion in Ihrer Datenbank ausgeführt hat.

Weitere Informationen zum Arbeiten mit Cloud Identity-Gruppen finden Sie in der Übersicht zu Cloud Identity.

Wenn Sie einer Gruppe einen Nutzer oder ein Dienstkonto hinzufügen, ändert sich in Cloud SQL Folgendes:

• Wenn Sie der Gruppe bereits IAM-Anmeldeberechtigungen erteilt haben, kann sich der Nutzer oder das Dienstkonto in der Cloud SQL-Instanz anmelden, da er bzw. es zur Gruppe gehört.
• Der Nutzer übernimmt automatisch alle Datenbankberechtigungen, die der Gruppe gewährt wurden.

Wenn Sie einen Nutzer oder ein Dienstkonto aus der Gruppe entfernen, ändert sich in Cloud SQL die folgende:

• Der Nutzer verliert alle Datenbankberechtigungen, die zuvor als Mitglied der Gruppe übernommen wurden.
• Der Nutzer kann sich möglicherweise weiterhin anmelden, wenn er über andere Gruppenmitgliedschaften IAM-Anmeldeberechtigungen für die Cloud SQL-Instanz erhält. Der Nutzer erhält bei der Anmeldung jedoch keine Datenbankberechtigungen aus seiner früheren Gruppenmitgliedschaft.

Best Practices für die IAM-Gruppenauthentifizierung

• Wenn Sie die Anmeldeberechtigung (cloudsql.instances.login) für eine IAM-Gruppe in Cloud Identity widerrufen, müssen Sie die Gruppe auch aus der Cloud SQL-Instanz löschen.
• Wenn Sie eine Gruppe aus einer Cloud Identity löschen, müssen Sie diese Gruppe auch aus der Cloud SQL-Instanz löschen.
• Mit Gruppen können Sie die rollenbasierte Zugriffssteuerung in Ihrer Datenbank konfigurieren. Weisen Sie der Gruppe immer die niedrigsten erforderlichen Berechtigungen zu.
• Weisen Sie integrierten Nutzern keine Rollen für die IAM-Gruppenauthentifizierung zu. Wenn Sie beispielsweise einen integrierten Nutzer (user-a) haben und einen Nutzer für die IAM-Gruppenauthentifizierung (user-b@example.com) erstellen, sollten Sie user-a nicht die Rolle user-b@example.com zuweisen.

Einschränkungen für die IAM-Gruppenauthentifizierung

• Sie können einer Instanz maximal 200 IAM-Gruppen hinzufügen.
• Sie können einer Instanz keine einzelnen IAM-Nutzer oder Dienstkonten hinzufügen, die zu einer Gruppe gehören. Sie können also kein Konto vom Typ CLOUD_IAM_USER oder CLOUD_IAM_SERVICE_ACCOUNT hinzufügen, wenn bereits ein identisches Konto vom Typ CLOUD_IAM_GROUP_USER oder CLOUD_IAM_GROUP_SERVICE_ACCOUNT vorhanden ist.
• Wenn in einer Instanz bereits ein individuelles Konto mit dem Typ CLOUD_IAM_USER oder CLOUD_IAM_SERVICE_ACCOUNT vorhanden ist, kann das Konto nicht für die IAM-Gruppenauthentifizierung verwendet werden. Diese Nutzertypen erben keine IAM-Rollen und Datenbankberechtigungen von einer Gruppe.

  Um dieses Problem zu beheben und das Konto mit IAM-Gruppenauthentifizierung zu verwenden, entfernen Sie den einzelnen IAM-Nutzer oder das Dienstkonto.

  Weitere Informationen finden Sie unter Ein vorhandener IAM-Nutzer oder ein vorhandenes Dienstkonto übernimmt nicht die Datenbankberechtigungen, die seiner Gruppe gewährt werden.
• Änderungen an der Cloud Identity-Gruppenmitgliedschaft, z. B. das Hinzufügen eines Kontos, brauchen etwa 15 Minuten, um wirksam zu werden. Dies ist zusätzlich zur Zeit, die für IAM-Änderungen erforderlich ist.

Automatische und manuelle IAM-Datenbankauthentifizierung im Vergleich

Cloud SQL for MySQL bietet zwei Optionen für die IAM-Datenbankauthentifizierung: automatisch und manuell.

Automatische IAM-Datenbankauthentifizierung

Mit der automatischen IAM-Datenbankauthentifizierung können Sie das Anfordern und Verwalten von Zugriffstokens an einen Cloud SQL-Connector wie den Cloud SQL-Auth-Proxy oder einen der Cloud SQL Language Connectors übergeben. Bei der automatischen IAM-Datenbankauthentifizierung müssen Nutzer nur den Nutzernamen der IAM-Datenbank in einer Verbindungsanfrage vom Client übergeben. Der Connector sendet die Zugriffstokeninformationen für das Passwortattribut im Namen des Clients.

Für die automatische IAM-Datenbankauthentifizierung ist ein Cloud SQL-Connector erforderlich. Sie wird vom Cloud SQL Auth-Proxy, dem Go-Connector, dem Java-Connector und dem Python-Connector unterstützt.

Als sicherste und zuverlässigste Nutzungsmöglichkeit empfehlen wir die Verwendung der automatischen IAM-Datenbankauthentifizierung. Für die IAM-Datenbankauthentifizierung werden OAuth 2.0-Zugriffstokens genutzt. Diese sind nur temporär und lediglich für eine Stunde gültig. Cloud SQL-Connectors können diese Tokens anfordern und aktualisieren, wodurch sichergestellt ist, dass langlebige Prozesse oder Anwendungen, die Verbindungs-Pooling nutzen, auf stabile Verbindungen zurückgreifen können. Die automatische Authentifizierung der IAM-Datenbank wird anstelle der manuellen Authentifizierung dringend empfohlen.

Weitere Informationen finden Sie unter Mit automatischer IAM-Datenbankauthentifizierung anmelden.

Manuelle IAM-Datenbankauthentifizierung

Für die manuelle IAM-Datenbankauthentifizierung muss das IAM-Hauptkonto das Zugriffstoken für das Passwortattribut in der Clientverbindungsanfrage explizit übergeben. Hauptkonten müssen sich zuerst in Google Cloud anmelden und das Zugriffstoken explizit von IAM anfordern.

Mit der gcloud CLI haben Sie die Möglichkeit, explizit ein OAuth 2.0-Token im Geltungsbereich der Cloud SQL Admin API anzufordern, das für die Anmeldung bei der Datenbank verwendet wird. Wenn Sie sich als Datenbanknutzer mit der IAM-Datenbankauthentifizierung anmelden, verwenden Sie Ihre E-Mail-Adresse als Nutzernamen und das Zugriffstoken als Passwort. Sie können diese Methode entweder mit einer direkten Verbindung zur Datenbank oder mit einem Cloud SQL-Connector verwenden.

Die Anmeldung mit IAM-Datenbankauthentifizierung kann nur über eine SSL-Verbindung erfolgen.

Weitere Informationen finden Sie unter Mit manueller IAM-Datenbankauthentifizierung anmelden.

Kontextsensitiver Zugriff und IAM-Datenbankauthentifizierung

Wenn Sie kontextbezogenen Zugriff in Ihrer IAM-Konfiguration verwenden, können Sie keinen Cloud SQL-Connector wie den Cloud SQL Auth-Proxy oder einen der Cloud SQL Language Connectors mit der IAM-Datenbankauthentifizierung verwenden. Versuche, sich manuell oder automatisch mit der IAM-Authentifizierung anzumelden, schlagen fehl. Stellen Sie stattdessen eine direkte Verbindung zur Instanz her.

Nutzer- und Dienstkontoverwaltung

Damit Nutzer und Dienstkonten mithilfe der IAM-Datenbankauthentifizierung Zugriff auf Datenbanken in einer Instanz erhalten, müssen Sie sie der Instanz oder einer Gruppe hinzufügen, die Zugriff auf die Instanz hat. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM hinzufügen.

Wenn Sie über die Google Cloud Console Nutzer oder Dienstkonten hinzufügen, werden Sie von Cloud SQL aufgefordert, dem Nutzer die Rolle „Cloud SQL-Nutzer“ zuzuweisen. Diese Rolle ist erforderlich, damit sich Nutzer bei der Instanz anmelden können.

Nachdem Sie den IAM-Nutzer zur Datenbank hinzugefügt haben, müssen Sie manuell Datenbankberechtigungen gewähren. Verwenden Sie den MySQL-Befehl GRANT, um andere Datenbankberechtigungen zu gewähren.

Instanzkonfiguration für die Cloud SQL-IAM-Datenbankauthentifizierung

Sie können die IAM-Datenbankauthentifizierung für eine Instanz mit dem Flag cloudsql_iam_authentication aktivieren. Wenn Sie dieses Flag aktivieren, ermöglicht die Instanz Anmeldungen von Konten, die für die IAM-Datenbankauthentifizierung konfiguriert sind.

Dieses Flag ist für die IAM-Gruppenauthentifizierung und die IAM-Datenbankauthentifizierung erforderlich.

Durch das Festlegen des Flags wird nicht verhindert, dass vorhandene Nicht-IAM-Nutzer ihre Nutzernamen und Passwörter zur Anmeldung verwenden. Wenn Sie allerdings dieses Flag für die Instanz deaktivieren, haben die Nutzer, die Sie zuvor über die IAM-Datenbankauthentifizierung hinzugefügt wurden, keinen Zugriff mehr auf die Instanz. Weitere Informationen finden Sie unter Instanzen für die IAM-Datenbankauthentifizierung konfigurieren.

Cloud SQL-IAM-Datenbankauthentifizierung für verschiedene Instanzszenarien

Lesereplikate

Die IAM-Datenbankauthentifizierung wird in einem Lesereplikat nicht automatisch aktiviert, auch wenn sie in der primären Instanz aktiviert ist. Nachdem Sie ein Lesereplikat erstellt haben, müssen Sie die IAM-Datenbankauthentifizierung hinzufügen. Weitere Informationen finden Sie unter Lesereplikatanmeldungen für die IAM-Datenbankauthentifizierung konfigurieren.

Wiederhergestellte Instanzen

Wenn eine Instanz zuvor gesichert und später in derselben oder einer anderen Instanz im selben Projekt wiederhergestellt wurde, gelten die aktuellen Autorisierungen für die Nutzeranmeldung. Wenn Sie eine Sicherung in einer neuen Instanz in einem anderen Projekt wiederherstellen, müssen Sie die Nutzerautorisierungen für die neue Instanz einrichten. Weitere Informationen finden Sie unter Nutzer- oder Dienstkonto mit IAM-Datenbankauthentifizierung hinzufügen.

Informationen zu IAM Conditions

Mit IAM Conditions können Sie Rollen anhand einer Vielzahl von Attributen zuweisen. Sie können damit beispielsweise den Zugriff nur zu bestimmten Datumsangaben und Uhrzeiten zulassen oder nur auf Cloud SQL-Ressourcen mit bestimmten Namen zugreifen.

Weitere Informationen zu IAM Conditions finden Sie auf der Seite Übersicht über IAM Conditions. Weitere Informationen zur Verwendung von IAM Conditions mit Cloud SQL, einschließlich Beispielen.

Mit Cloud-Audit-Logs arbeiten

Sie können Audit-Logs verwenden, um Datensätze über den Datenzugriff, einschließlich Anmeldungen, aufzubewahren. Cloud-Audit-Logs sind standardmäßig deaktiviert. Sie müssen Audit-Logs zum Datenzugriff für das Tracking von Anmeldungen aktivieren. Die Verwendung von Audit-Logging zu diesem Zweck verursacht Kosten für das Logging von Daten. Weitere Informationen finden Sie unter Audit-Logs, Audit-Logs zum Datenzugriff konfigurieren und den Preisen für das Logging von Daten.

Beschränkungen

1. Die Anmeldung für ein Nutzerkonto mit IAM-Datenbankauthentifizierung muss in Kleinbuchstaben erfolgen. Beispiel: example-user@example.com Example-User@example.com ist nicht zulässig.
2. Aus Sicherheitsgründen sind Anmeldungen mit der IAM-Datenbankauthentifizierung nur über eine SSL-Verbindung möglich. Unverschlüsselte Verbindungen werden abgelehnt.
3. Für jede Instanz gilt ein Anmeldungskontingent pro Minute, das sowohl erfolgreiche als auch fehlgeschlagene Anmeldungen umfasst. Wenn das Kontingent überschritten wird, sind Anmeldungen vorübergehend nicht möglich. Wir empfehlen, häufige Anmeldungen zu vermeiden und Anmeldungen mithilfe von autorisierten Netzwerken einzuschränken. Das Kontingent für die Autorisierung von Anmeldungen beträgt 12.000 pro Minute und Instanz.
4. Die IAM-Datenbankauthentifizierung wird für Instanzen, die MySQL 5.6 verwenden, nicht unterstützt.

Nächste Schritte

• Instanzen für die IAM-Datenbankauthentifizierung konfigurieren
• Nutzer- oder Dienstkonto mit IAM-Datenbankauthentifizierung zu einer Datenbank hinzufügen
• Mit der IAM-Datenbankauthentifizierung bei einer Cloud SQL-Datenbank anmelden
• Anmeldedaten in Audit-Logs ansehen