Разрешить доступ к приложению приложения Google App Engine только к одной базе данных SQL Server

Question

У меня есть несколько небольших приложений приложений Google App, которые получают доступ к одному и тому же экземпляру Cloud SQL (для экономии ресурсов), и я не хочу ограничивать доступ к этим индивидуальным базы данных для каждого приложения; например.

1. CoolApp5 ---> global_db_instance -> coolapp5_db 
2. EatFood ----> global_db_instance -> eatfood_db 
3. WebsiteCo --> global_db_instance -> websiteco_db 

Configuring Google Could SQL Instance Access

Нынешняя система, кажется, позволяет для приложений, чтобы иметь доступ к глобальным базам данных экземпляра, но и создает уязвимость. Если злоумышленник получит доступ к базе данных с истинным одним приложением (coolapp5/eatfood или websiteco), он получит доступ к базам данных всех.

Например. Wordpress сайтов для CoolApp5

<?php // wp-config.php 
    define('DB_HOST', ':/cloudsql/global_db_instance:db'); // 
    define('DB_USER', 'root'); 
    define('DB_PASSWORD', ''); 
    define('DB_NAME', 'coolapp5_db'); 
?> 

Как вы можете видеть, приложение coolapp5 имеет доступ к coolapp5_db и может получить доступ к другой базе данных (eatfood_db, websiteco_db), как приложение имеет корневой доступ.

Google seems to allow this through an external IP address

Очевидным решением было бы иметь много отдельных экземпляров для каждого приложения, но это неэффективно для небольших приложений, как базы данных Cloud SQL может работать несколько веб-сайтов одновременно.

Есть ли другое решение или моя стратегия просто не будет работать для Google Cloud SQL?

Answer 1

Установите пользователей MySQL на базу данных/приложение (docs) в одном экземпляре Cloud SQL и предоставите доступ к этим новым пользователям только для необходимой им базы данных.