使用 Cloud SQL Proxy 的 Google Cloud SQL（MySQL）无密码用户？

Question

讽刺的是，所谓的“Auth 代理”至今尚未提供数据库用户身份验证。Google Cloud SQL 终于增加了对无密码 IAM 登录的支持，其中cloud-sql-proxy（或者golang，Java 语言，或者Python连接器）对 IAM 用户或服务账户进行身份验证，然后连接到MySQL 前端的 Auth 代理服务器使用临时客户端证书。

对于 Postgres，Cloud SQL 添加了手动 IAM 身份验证2020 年（Cloud SQL 发行说明：2020-10-12），他们还补充道自动 IAM 身份验证并在 2021 年支持 cloud-sql-proxy-enable_iam_login（cloud-sql-proxy 更新日志：1.20.0 2021-02-24，Cloud SQL 发行说明：2021-04-06，一般可在2021-08-30)，但该标志在 2.0.0 中已被替换--auto-iam-authn。

对于 MySQL，添加了 Cloud SQL手动 IAM 身份验证2021 年（Cloud SQL 发行说明：2021-07-08）。自动 IAM 身份验证尚未记录，但它已在golang cloud.google.com/go/cloudsqlconn 1.1.0和云-sql-proxy 2.0.0-预览版.4 (2022-12-12)和--auto-iam-authn。

Google Cloud SQL MySQL 上的无密码 IAM 身份验证需要：

roles/cloudsql.instanceUser角色，或等效于cloudsql.instances.get 权限cloudsql.instances.login（MySQL IAM 角色）
--cloudsql_iam_authentication=on在 MySQL 服务器上（实例配置）
type创建并设置 IAM 身份验证的用户： gloud sql users create --type=cloud_iam_user --instance=MY_INSTANCE USERNAME@DOMAIN，或gloud sql users create --type=cloud_iam_service_account --instance=MY_INSTANCE [email protected]
手动或自动 IAM 身份验证
- 手动 IAM 身份验证：要求用户名是电子邮件地址的本地部分，密码设置为的结果gcloud sql generate-login-token，--enable-cleartext-plugin并且需要使用gcloud sql ssl client-certs create(使用手动 IAM 数据库身份验证登录）
- 自动 IAM 身份验证：需要生成临时客户端证书生成EphemeralCert将 access_token 设置为的结果gcloud auth print-access-token，并且需要使用 Cloud SQL Proxy 协议（端口 3307）进行连接（它确实不是作为端口 3306 上的客户端证书工作）。这一切都由 cloud-sql-proxy 或其中一个语言连接器自动完成。然后，您连接到 cloud-sql-proxy，将用户名设置为电子邮件地址的本地部分，密码将被忽略。示例：
```
# Download v2.0.0-preview.4 or higher
wget https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.0.0-preview.4/cloud-sql-proxy.linux.amd64
chmod +x cloud-sql-proxy.linux.amd64
sudo mv cloud-sql-proxy.linux.amd64 /usr/local/bin/cloud-sql-proxy

cloud-sql-proxy --port=3306 --auto-iam-authn $(gcloud sql instances describe MY_INSTANCE --format='value(connectionName)') &
mysql --user=MY_USERNAME --password= --protocol=tcp --host=127.0.0.1 --port=3306 --ssl-mode=disabled
```

Answer 1

讽刺的是，所谓的“Auth 代理”至今尚未提供数据库用户身份验证。Google Cloud SQL 终于增加了对无密码 IAM 登录的支持，其中cloud-sql-proxy（或者golang，Java 语言，或者Python连接器）对 IAM 用户或服务账户进行身份验证，然后连接到MySQL 前端的 Auth 代理服务器使用临时客户端证书。

对于 Postgres，Cloud SQL 添加了手动 IAM 身份验证2020 年（Cloud SQL 发行说明：2020-10-12），他们还补充道自动 IAM 身份验证并在 2021 年支持 cloud-sql-proxy-enable_iam_login（cloud-sql-proxy 更新日志：1.20.0 2021-02-24，Cloud SQL 发行说明：2021-04-06，一般可在2021-08-30)，但该标志在 2.0.0 中已被替换--auto-iam-authn。

对于 MySQL，添加了 Cloud SQL手动 IAM 身份验证2021 年（Cloud SQL 发行说明：2021-07-08）。自动 IAM 身份验证尚未记录，但它已在golang cloud.google.com/go/cloudsqlconn 1.1.0和云-sql-proxy 2.0.0-预览版.4 (2022-12-12)和--auto-iam-authn。

Google Cloud SQL MySQL 上的无密码 IAM 身份验证需要：

roles/cloudsql.instanceUser角色，或等效于cloudsql.instances.get 权限cloudsql.instances.login（MySQL IAM 角色）
--cloudsql_iam_authentication=on在 MySQL 服务器上（实例配置）
type创建并设置 IAM 身份验证的用户： gloud sql users create --type=cloud_iam_user --instance=MY_INSTANCE USERNAME@DOMAIN，或gloud sql users create --type=cloud_iam_service_account --instance=MY_INSTANCE [email protected]
手动或自动 IAM 身份验证
- 手动 IAM 身份验证：要求用户名是电子邮件地址的本地部分，密码设置为的结果gcloud sql generate-login-token，--enable-cleartext-plugin并且需要使用gcloud sql ssl client-certs create(使用手动 IAM 数据库身份验证登录）
- 自动 IAM 身份验证：需要生成临时客户端证书生成EphemeralCert将 access_token 设置为的结果gcloud auth print-access-token，并且需要使用 Cloud SQL Proxy 协议（端口 3307）进行连接（它确实不是作为端口 3306 上的客户端证书工作）。这一切都由 cloud-sql-proxy 或其中一个语言连接器自动完成。然后，您连接到 cloud-sql-proxy，将用户名设置为电子邮件地址的本地部分，密码将被忽略。示例：
```
# Download v2.0.0-preview.4 or higher
wget https://storage.googleapis.com/cloud-sql-connectors/cloud-sql-proxy/v2.0.0-preview.4/cloud-sql-proxy.linux.amd64
chmod +x cloud-sql-proxy.linux.amd64
sudo mv cloud-sql-proxy.linux.amd64 /usr/local/bin/cloud-sql-proxy

cloud-sql-proxy --port=3306 --auto-iam-authn $(gcloud sql instances describe MY_INSTANCE --format='value(connectionName)') &
mysql --user=MY_USERNAME --password= --protocol=tcp --host=127.0.0.1 --port=3306 --ssl-mode=disabled
```

使用 Cloud SQL Proxy 的 Google Cloud SQL（MySQL）无密码用户？

答案1

相关内容