Cloud SQL インスタンスへのデータベース接続において、IP 許可リスト(Authorized Networks)に依存せず、よりセキュアな接続方法を実装したいと考えています。最も適切な方法はどれですか?
- A. Cloud SQL に SSL 証明書を設定して HTTPS 接続を強制する
- B. Cloud SQL のパブリック IP を無効化してプライベート IP のみを使用する
- C. Cloud SQL Auth Proxy を使用してサービスアカウントで認証する
- D. Cloud SQL の外部 IP をファイアウォールルールで制限する
解答と解説を見る
正解: C
Cloud SQL Auth Proxy はサービスアカウント(または Workload Identity)の IAM 認証を使って Cloud SQL への安全な接続を確立します。接続は自動的に暗号化され、IP 許可リストの管理が不要になります。アプリはローカルの Unix ソケットや TCP ポートに接続するだけで、Auth Proxy が暗号化と認証を担当します。ファイアウォールルールによる制限は IP の管理が必要です。SSL 証明書の設定は暗号化を強化しますが、認証は別途必要で証明書管理の負担があります。プライベート IP への変更は有効なセキュリティ強化ですが、VPC 外からのアクセスが必要な場合に対応できず、Auth Proxy と組み合わせて使うことも多いです。
📚 関連サービスの解説: Cloud SQL