Usar uma autoridade certificadora (AC) gerenciada pelo cliente

Nesta página, descrevemos como usar a opção de autoridade de certificação (CA) gerenciada pelo cliente como o modo de CA do servidor para sua instância do Cloud SQL.

Visão geral

Com a opção de CA gerenciada pelo cliente, você configura seu próprio pool e CA no Certificate Authority Service (CA Service). Ao selecionar a opção de CA gerenciada pelo cliente, você configura a hierarquia de CA e gerencia a rotação dos certificados de CA para suas instâncias do Cloud SQL.

Antes de criar uma instância do Cloud SQL com a opção de CA gerenciada pelo cliente, crie um pool de CAs na mesma região da instância e pelo menos uma CA nesse pool usando o serviço de CA. A CA pode ser uma CA raiz ou uma CA subordinada. Você também pode criar uma CA subordinada no CA Service e encadeá-la a uma CA raiz externa. Ao criar a instância, você especifica o pool de CA. Sua solicitação é delegada a uma conta de serviço específica do projeto, que tem permissão para usar o pool de CA. A conta de serviço solicita uma CA do pool, e o Cloud SQL usa essa CA para assinar o certificado do servidor da instância.

Para o modo de CA do servidor da sua instância no Cloud SQL, é possível escolher entre as três opções a seguir:

• CA interna por instância
• AC compartilhada gerenciada pelo Google
• CA gerenciada pelo cliente

Você pode escolher a opção de CA gerenciada pelo cliente se precisar gerenciar sua própria CA por motivos de compliance. Para mais informações sobre como usar as outras opções, consulte Autorizar com certificados SSL/TLS.

Fluxo de trabalho

Para usar a opção de CA gerenciada pelo cliente, o fluxo de trabalho é o seguinte:

1. Crie uma conta de serviço para seu projeto do Cloud SQL.
2. Crie um pool de CA no serviço de CA.
3. Crie uma CA no serviço de CA.
4. Crie uma instância do Cloud SQL que use a CA. Ao criar a instância, você delega à conta de serviço a permissão para assinar o certificado do servidor com o pool de AC que criou.

Antes de começar

Antes de usar a opção de CA gerenciada pelo cliente, verifique se você atende aos seguintes requisitos.

Funções exigidas

Para receber as permissões necessárias para criar uma conta de serviço específica do Cloud SQL, peça ao administrador para conceder a você o papel do IAM Criador de contas de serviço (roles/iam.serviceAccountCreator) em cada projeto individual. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Para receber as permissões necessárias para criar um pool e uma CA, peça ao administrador para conceder a você o papel do IAM Gerente de operações do serviço de CA(roles/privateca.caManager) no serviço de CA. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar uma conta de serviço específica do projeto

No projeto em que você planeja criar as instâncias do Cloud SQL, crie uma conta de serviço dedicada que vai processar a solicitação de criação e assinatura dos certificados do servidor para as instâncias do Cloud SQL.

gcloud beta services identity create \
  --service=sqladmin.googleapis.com \
  --project=PROJECT_ID

Criar um pool de CA

Crie um pool de CA no serviço de CA.

É possível criar um pool de CA no mesmo projeto em que você planeja criar as instâncias do Cloud SQL ou em um projeto diferente. No entanto, se você criar o pool de CAs em um projeto diferente, o VPC Service Controls poderá impedir a criação de instâncias do Cloud SQL, dependendo da política da organização. Para corrigir o problema, verifique se o projeto que hospeda o pool e a autoridade de certificação (CA) e o projeto que hospeda o Cloud SQL pertencem ao mesmo perímetro de serviço. Para mais informações, consulte Perímetros de serviço e Gerenciar perímetros de serviço.

Para criar um pool de CAs, siga as instruções em Criar um pool de CAs. É possível aceitar os valores padrão para o pool de CA com as seguintes configurações obrigatórias:

• Crie o pool de CA na mesma região em que você planeja criar a instância do Cloud SQL. Para uma lista de regiões compatíveis com o Cloud SQL, consulte Regiões.
• Permitir solicitações de certificado com base em configuração.
• Permitir nomes DNS em nomes alternativos do assunto (SANs). Ao configurar as restrições de identidade do pool de CA, não defina restrições no formato dos nomes DNS que possam entrar em conflito com o que o Cloud SQL pode adicionar ao SAN.
• Se você configurar as restrições de identidade para o pool de ACs, permita endereços IP como um formato no SAN.

Conceder à conta de serviço acesso ao pool de CA

Para garantir que a conta de serviço tenha as permissões necessárias para solicitar e assinar certificados para suas instâncias do Cloud SQL, conceda o seguinte papel à conta de serviço para o pool de CA que você criou:

• roles/privateca.certificateRequester

gcloud privateca pools add-iam-policy-binding CA_POOL_ID \
  --project=PROJECT_ID \
  --location=REGION \
  --member serviceAccount:SERVICE_ACCOUNT_NAME \
  --role=roles/privateca.certificateRequester

Criar uma CA no pool de CAs

Crie pelo menos uma CA no pool que você criou.

É possível criar uma CA raiz ou subordinada.

Para criar uma CA raiz, siga as instruções em Criar uma CA raiz. É possível aceitar os valores padrão para a CA, mas crie a CA no estado Ativado.

Se você criar uma CA subordinada, primeiro crie e configure a CA raiz.

• Para criar uma CA subordinada no CA Service, siga as instruções em Criar uma CA subordinada.

• Para criar uma CA subordinada de uma CA raiz externa, siga as instruções em Criar uma CA subordinada de uma CA raiz externa.

crie uma instância do Cloud SQL

Para criar uma instância do Cloud SQL que usa a opção de CA gerenciada pelo cliente, faça o seguinte:

gcloud sql instances create "INSTANCE_NAME" \
  --database-version=DATABASE_VERSION \
  --project=PROJECT_ID \
  --region=REGION \
  --server-ca-mode=CUSTOMER_MANAGED_CAS_CA \
  --server-ca-pool=projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances

{
  "name":"INSTANCE_ID",
  "region":"REGION",
  "databaseVersion": "DATABASE_VERSION",
  "settings":{
     "ipConfiguration":
      {
         "serverCaPool": "projects/PROJECT_ID_CAS/locations/REGION/caPools/CA_POOL_ID",
         "serverCaMode": "CUSTOMER_MANAGED_CAS_CA"
      }
   }
}

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances" | Select-Object -Expand Content

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances",
  "status": "PENDING",
  "user": "user@example.com",
  "insertTime": "2025-01-16T02:32:12.281Z",
  "operationType": "UPDATE",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID_CSQL/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Resolver problemas