Gérer les utilisateurs PostgreSQL avec l'authentification intégrée

Cette page explique comment créer, gérer et supprimer des rôles, des utilisateurs et des groupes PostgreSQL et AlloyDB pour PostgreSQL à l'aide des méthodes d'authentification intégrées PostgreSQL basées sur un mot de passe.

Créer des utilisateurs PostgreSQL dans AlloyDB

Lorsque vous créez des utilisateurs PostgreSQL, ils ne disposent que du privilège LOGIN. Pour en savoir plus sur ces droits, consultez CREATE USER.

Vous pouvez modifier les droits de n'importe quel utilisateur à l'aide de la commande ALTER ROLE. Si vous créez un utilisateur à l'aide du client psql, vous pouvez l'associer à un rôle différent ou lui accorder des droits d'accès différents.

Gérer les utilisateurs

Vous pouvez créer et gérer des utilisateurs AlloyDB avec la Google Cloud CLI ou à l'aide de commandes PostgreSQL. Les sections suivantes présentent des tâches courantes de gestion des utilisateurs à l'aide de l'une ou l'autre méthode.

Avant de commencer

Pour utiliser les commandes PostgreSQL afin de gérer les utilisateurs sur un cluster, vous devez disposer des éléments suivants :

  • Accès au client psql
  • Accès à l'utilisateur de base de données postgres ou à un autre rôle d'utilisateur disposant des droits d'administration appropriés

Pour utiliser la console Google Cloud ou Google Cloud CLI afin de gérer les utilisateurs sur un cluster, ce cluster doit disposer d'une instance principale. Si votre cluster ne dispose pas d'instance principale, vous devez en créer une avant de pouvoir gérer les utilisateurs.

Créer un utilisateur de base de données

Pour créer un utilisateur de base de données qui s'authentifie directement auprès de la base de données à l'aide d'un nom d'utilisateur et d'un mot de passe (également appelée authentification intégrée), suivez les étapes décrites dans cette section.

Pour créer un utilisateur de base de données qui utilise Identity and Access Management (IAM) pour s'authentifier, consultez Gérer l'authentification IAM.

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur le nom du cluster auquel vous souhaitez ajouter un utilisateur.

  3. Cliquez sur Utilisateurs.

  4. Cliquez sur Ajouter un compte utilisateur.

  5. Laissez l'option Authentification intégrée sélectionnée.

    Si vous souhaitez utiliser IAM pour vous authentifier et vous connecter à vos clusters de bases de données, vous devez effectuer des étapes supplémentaires pour préparer votre projet et accorder les autorisations appropriées à votre nouvel utilisateur. Pour en savoir plus, consultez Gérer l'authentification IAM.

  6. Saisissez un nom d'utilisateur et un mot de passe pour le nouvel utilisateur.

  7. Pour attribuer à l'utilisateur des rôles autres que celui par défaut (alloydbsuperuser), procédez comme suit :

    1. Saisissez le nom du rôle dans Rôles.
    2. Pour ajouter le rôle, appuyez sur Entrée ou Tabulation.

    3. Sélectionnez x pour chaque rôle que vous souhaitez supprimer pour cet utilisateur.

      Pour en savoir plus, consultez la section Rôles prédéfinis.

  8. Cliquez sur Ajouter.

psql

CREATE USER USERNAME WITH PASSWORD PASSWORD;

Pour savoir comment créer et définir des utilisateurs de base de données, consultez CREATE USER.

Une fois que vous avez créé un utilisateur, vous pouvez modifier ses droits à l'aide de la commande ALTER ROLE dans le client psql.

gcloud

Exécutez la commande gcloud alloydb users create suivante :

gcloud alloydb users create USERNAME \
--password=PASSWORD \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les variables suivantes :

  • USERNAME : nom d'utilisateur. USERNAME doit respecter les règles concernant les identifiants SQL : sans caractères spéciaux ni entre guillemets doubles. Par exemple, db_user_1.

  • PASSWORD : mot de passe de l'utilisateur. Pour créer l'utilisateur sans mot de passe, omettez cet argument.

  • CLUSTER_ID : ID du cluster auquel ajouter l'utilisateur.

  • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Après avoir créé un utilisateur, vous pouvez modifier ses droits à l'aide de la commande gcloud alloydb users set-roles.

Vous pouvez également accorder des rôles ou des droits de super-utilisateur à un utilisateur lors de sa création. Pour ce faire, incluez les arguments --db-roles ou --superuser, comme décrit dans la section suivante.

Attribuer des rôles à un utilisateur de base de données

Console

Pour attribuer des rôles à un utilisateur de base de données, utilisez psql ou gcloud CLI, au lieu de la console Google Cloud .

psql

GRANT ROLE to USERNAME;

Remplacez les variables suivantes :

  • USERNAME : nom d'utilisateur.
  • ROLE : rôle à accorder à l'utilisateur. Par exemple, pour accorder à l'utilisateur des droits de super-utilisateur, accordez-lui alloydbsuperuser.

gcloud

Utilisez la commande gcloud alloydb users set-roles suivante pour spécifier tous les rôles que vous souhaitez attribuer à l'utilisateur :

gcloud alloydb users set-roles USERNAME \
--db-roles=ROLES \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les variables suivantes :

  • USERNAME : nom d'utilisateur.

  • ROLES : liste de tous les rôles que vous souhaitez attribuer à l'utilisateur, séparés par une virgule. Assurez-vous de lister tous les rôles, y compris les rôles existants et les nouveaux.

    Pour trouver la liste des rôles existants attribués à l'utilisateur, exécutez la commande suivante :

    gcloud alloydb users list --cluster=CLUSTER_ID --region=REGION_ID

    Remplacez les variables suivantes :

    • CLUSTER_ID : ID du cluster contenant l'utilisateur.

    • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

    Pour accorder des droits de super-utilisateur à un utilisateur, vous pouvez soit lui attribuer manuellement le rôle alloydbsuperuser à l'aide de psql, soit exécuter la commande gcloud alloydb users set-superuser avec l'argument --superuser=true :

    gcloud alloydb users set-superuser USERNAME \
--superuser=true \
--cluster=CLUSTER_ID \
--region=REGION_ID

    Remplacez les variables suivantes :

    • CLUSTER_ID : ID du cluster contenant l'utilisateur.

    • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Modifier le mot de passe d'un utilisateur de base de données

Pour définir un nouveau mot de passe pour un utilisateur de base de données PostgreSQL standard, suivez les étapes décrites dans cette section.

Vous ne pouvez pas modifier ni définir le mot de passe d'un utilisateur basé sur IAM, car les utilisateurs IAM n'utilisent pas de mot de passe pour s'authentifier. Pour en savoir plus, consultez Se connecter à l'aide d'un compte IAM.

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur le nom du cluster contenant l'utilisateur de la base de données.

  3. Cliquez sur Utilisateurs.

  4. Sur la ligne correspondant à l'utilisateur, cliquez sur Ouvrir les actions pour cet utilisateur.

  5. Sélectionnez Modifier le mot de passe.

  6. Spécifiez un mot de passe :

    • Pour définir un nouveau mot de passe pour cet utilisateur, saisissez-le dans le champ Mot de passe.

    • Pour ne définir aucun mot de passe pour cet utilisateur, cochez la case Aucun mot de passe.

  7. Cliquez sur OK.

psql

ALTER USER USERNAME WITH PASSWORD PASSWORD;

Pour savoir comment modifier le mot de passe d'un utilisateur, consultez ALTER ROLE.

gcloud

Exécutez la commande gcloud alloydb users set-password suivante :

gcloud alloydb users set-password USERNAME \
--password=PASSWORD \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les variables suivantes :

  • USERNAME : nom d'utilisateur.

  • PASSWORD : nouveau mot de passe à attribuer à l'utilisateur.

  • CLUSTER_ID : ID du cluster auquel appartient l'utilisateur.

  • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Révoquer un rôle d'un utilisateur de base de données

Console

Pour révoquer des rôles d'un utilisateur, utilisez psql ou la gcloud CLI, au lieu de la console Google Cloud .

psql

Vous pouvez révoquer les droits précédemment accordés à un ou plusieurs rôles, ou révoquer l'appartenance d'un utilisateur à un rôle, comme indiqué ci-dessous :

REVOKE ROLE FROM USERNAME;

Pour supprimer les droits de super-utilisateur d'un utilisateur, révoquez le rôle alloydbsuperuser de cet utilisateur.

gcloud

Pour révoquer un rôle avec Google Cloud CLI, utilisez la commande gcloud alloydb users set-roles suivante pour spécifier tous les rôles que vous souhaitez attribuer à l'utilisateur et omettre les rôles à révoquer :

gcloud alloydb users set-roles USERNAME \
--db-roles=ROLES \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les variables suivantes :

  • USERNAME : nom d'utilisateur.

  • ROLES : liste de tous les rôles que vous souhaitez attribuer à l'utilisateur, séparés par une virgule. Veillez à lister tous les rôles, y compris ceux existants et ceux que vous souhaitez ajouter.

    Pour trouver la liste des rôles existants attribués à l'utilisateur, exécutez la commande suivante :

    gcloud alloydb users list --cluster=CLUSTER_ID --region=REGION_ID

  • CLUSTER_ID : ID du cluster contenant l'utilisateur.

  • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Pour révoquer les droits de super-utilisateur, vous pouvez supprimer manuellement le rôle alloydbsuperuser d'un utilisateur à l'aide de psql, ou exécuter la commande gcloud alloydb users set-superuser avec l'argument --superuser=false.

Afficher la liste des utilisateurs de la base de données

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur le nom du cluster dont vous souhaitez afficher les utilisateurs.

  3. Cliquez sur Utilisateurs.

psql

Exécutez la commande \du suivante pour imprimer un tableau de tous les utilisateurs de la base de données, y compris leurs appartenances à des groupes :

\du

gcloud

Exécutez la commande gcloud alloydb users list suivante :

gcloud alloydb users list \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les éléments suivants :

  • CLUSTER_ID : ID du cluster contenant les utilisateurs.

  • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Supprimer un utilisateur de base de données

Console

  1. Accédez à la page Clusters.

    accéder aux clusters

  2. Cliquez sur le nom du cluster contenant l'utilisateur.

  3. Cliquez sur Utilisateurs.

  4. Sur la ligne correspondant à l'utilisateur, cliquez sur Ouvrir les actions pour cet utilisateur.

  5. Sélectionnez Supprimer.

  6. Dans la boîte de dialogue Supprimer le compte utilisateur ?, cliquez sur Supprimer.

psql

Avant de supprimer un utilisateur, vous devez supprimer ou réaffecter tous les objets qu'il possède, et révoquer les droits qui lui ont été accordés sur d'autres objets. Utilisez les ressources suivantes :

DROP ROLE USERNAME;

gcloud

Exécutez la commande gcloud alloydb users delete suivante :

gcloud alloydb users delete USERNAME \
--cluster=CLUSTER_ID \
--region=REGION_ID

Remplacez les éléments suivants :

  • USERNAME : nom d'utilisateur.

  • CLUSTER_ID : ID du cluster auquel appartient l'utilisateur.

  • REGION_ID : ID de la région dans laquelle se trouve le cluster. Exemple :us-central1

Étapes suivantes