アクセス制御について

このページでは、Cloud SQL インスタンスの 2 つのレベルのアクセス制御について説明します。インスタンスを管理する前に、両方のレベルのアクセス制御を構成する必要があります。

アクセス制御のレベル

アクセス制御の構成とは、誰がまたは何がインスタンスにアクセスできるかを制御することです。アクセス制御には 2 つのレベルがあります。

インスタンスレベル アクセス
インスタンスレベル アクセスにより、App Engine スタンダード環境や外部で実行中のアプリケーションまたはクライアントから、あるいは Compute Engine など別の Google Cloud サービスから、Cloud SQL インスタンスへのアクセスが承認されます。
データベース アクセス
データベース アクセスは、サーバーレベルのロールを使用して、どの SQL Server ユーザーがインスタンス内のデータへのアクセス権を持つかを制御します。

インスタンスレベル アクセス

インスタンスレベル アクセスの構成方法は、どこからの接続かによって異なります。
接続元 アクセス設定オプション 詳細
Google Kubernetes Engine(GKE)
  • Cloud SQL Auth Proxy Docker イメージ
App Engine スタンダード環境
  • 同じプロジェクト: IAM の構成
  • プロジェクト間: IAM の構成
フレキシブル環境
  • 同じプロジェクト: 事前構成
  • プロジェクト間: IAM の構成
sqlcmd クライアント
  • Cloud SQL Auth Proxy
  • クライアント IP アドレスを承認
外部アプリケーション
  • Cloud SQL Auth Proxy
  • クライアント IP アドレスを承認
Cloud Run 関数
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成
Cloud Run
  • パブリック IP で設定された Cloud SQL インスタンス。
  • プロジェクト間: IAM も構成
GKE
  • プライベート IP
  • パブリック IP の場合、Cloud SQL Proxy は必須

データベース アクセス

データベース インスタンスに接続したユーザーまたはアプリケーションは、ユーザー アカウントまたはサービス アカウントを使用してログインする必要があります。Cloud SQL インスタンスの作成の一環として、デフォルト ユーザー(root)アカウントを設定します。さらにユーザーを追加して、インスタンスへのアクセスをきめ細かく制御することもできます。

詳しくは、SQL Server ユーザーSQL Server ユーザーの作成と管理をご覧ください。

次のステップ