Est-il possible de créer une instance Cloud SQL Postgres qui Mise en œuvre de SSL/TLS mais qui ne nécessite pas l'utilisation de certificats clients ? Dans ce cas, il s'agit d'une solution de rechange. pg_hba.conf Il s'agirait d'une ligne contenant hostssl pero no clientcert=1 .
J'ai essayé Mise en œuvre de SSL/TLS ( settings.ipConfiguration.requireSsl sur l'instance, ou gcloud sql instances patch [INSTANCE_NAME] --require-ssl ) Mais cette option semble plutôt inutile, car :
- Selon le Gérer les certificats de vos clients En effet, vous ne pouvez créer que "jusqu'à 10 certificats clients pour chaque instance". Cela signifie que nous devrions partager le même certificat client/les mêmes clés privées entre plusieurs utilisateurs ou services, de sorte que le secret n'est pas vraiment secret pour nos employés.
- Après avoir présenté un client
sslkey/sslcertenpsqlpostgres demande toujours un mot de passe. C'est la preuve que le Cloud SQLsslCertsL'API insère unclientcert=1par opposition à une option d'authentification (auth-option)certauth-method, enpg_hba.conf. Cela signifie que chaque client a besoin à la fois un certificat de client y un mot de passe.
