Gestire l'autenticazione IAM

Questa pagina spiega come preparare l'istanza AlloyDB per PostgreSQL per consentire l'autenticazione del database tramite Identity and Access Management (IAM).

L'autenticazione IAM integra l'autenticazione del database tramite utenti PostgreSQL standard, che ogni cluster AlloyDB supporta. Se abiliti l'autenticazione IAM sul cluster, puoi utilizzare i ruoli utente IAM o PostgreSQL per l'autenticazione con il cluster.

Per impostazione predefinita, l'autenticazione IAM non è abilitata in un'istanza AlloyDB. Per attivare l'autenticazione IAM, completa i seguenti passaggi:

• Attiva manualmente l'autenticazione IAM su ogni istanza a cui devono connettersi l'utente IAM o i service account.

• Per ogni utente IAM o account di servizio che deve accedere come utente del database, completa i seguenti passaggi:

  1. Utilizzando gli strumenti di amministrazione IAM, concedi all'utente o al service account i ruoli alloydb.databaseUser e serviceusage.serviceUsageConsumer.

  2. Utilizzando Google Cloud CLI, crea un utente del database corrispondente a quell'utente oaccount di serviziot nel tuo cluster AlloyDB.

  3. Utilizzando un account amministratore del database come postgres, concedi i privilegi di accesso al nuovo utente del database alle tabelle del database appropriate.

Puoi ripetere questi passaggi ogni volta che devi aggiungere altri utenti IAM al tuo cluster AlloyDB.

Attivare o disattivare l'autenticazione IAM

Per abilitare l'autenticazione IAM su un'istanza, imposta il flag alloydb.iam_authentication su quell'istanza su on.

Per disattivare l'autenticazione IAM su un'istanza, imposta alloydb.iam_authentication di nuovo sul valore predefinito, off.

Per saperne di più sull'impostazione dei flag sulle istanze AlloyDB, consulta Configurare i flag di database di un'istanza.

Concedere a un utente IAM o a un account di servizio l'accesso a un'istanza

L'attivazione dell'accesso IAM a un nuovo utente del database è una procedura in due passaggi:

1. Aggiorna le impostazioni IAM del progetto per concedere l'accesso al database AlloyDB all'utente o al account di servizio IAM appropriato.

2. Crea un nuovo utente del database sul cluster, impostando il nome utente come indirizzo email dell'utente IAM o del service account.

Puoi ripetere il passaggio 2 per concedere a un account IAM l'accesso ad altri cluster all'interno del tuo progetto.

Aggiornare un account IAM con il ruolo appropriato

Puoi consentire agli utenti IAM o ai service account di autenticarsi con le istanze AlloyDB concedendo loro i seguenti ruoli IAM:

• alloydb.databaseUser: consente all'utente di connettersi all'istanza AlloyDB.
• serviceusage.serviceUsageConsumer: fornisce all'utente l'accesso a un'API che controlla le autorizzazioni.

Per farlo, segui le istruzioni riportate in Concedere l'accesso ad altri utenti. Nel passaggio in cui selezioni un ruolo da concedere all'entità IAM, scegli alloydb.databaseUser.

Aggiungere un utente IAM o account di servizio a un cluster

gcloud alloydb users create USERNAME \
--cluster=CLUSTER \
--region=REGION \
--type=IAM_BASED

Concedi le autorizzazioni di database appropriate agli utenti IAM

Quando un utente IAM viene aggiunto a un'istanza di database, per impostazione predefinita non gli vengono concessi privilegi su alcun database.

Quando un utente o un account di servizio si connette a un database, può eseguire query su qualsiasi oggetto di database a cui è stato concesso l'accesso a PUBLIC.

Se hanno bisogno di un accesso aggiuntivo, è possibile concedere ulteriori privilegi utilizzando l'istruzione GRANT PostgreSQL.

GRANT SELECT ON TABLE_NAME TO "USERNAME";

Sostituisci le seguenti variabili:

• USERNAME: l'indirizzo email dell'utente. Devi includere virgolette doppie intorno all'indirizzo.

• TABLE_NAME: il nome della tabella a cui vuoi concedere l'accesso all'utente.

Rimuovere un utente IAM o un account di servizio da un cluster

gcloud alloydb users delete USERNAME \
--cluster=CLUSTER \
--region=REGION

Passaggi successivi

• Connettiti utilizzando un account IAM