Nesta página, descrevemos como criar, gerenciar e remover papéis, usuários e grupos do PostgreSQL e do AlloyDB para PostgreSQL usando os métodos de autenticação integrados do PostgreSQL baseados em senha.
Criar usuários do PostgreSQL no AlloyDB
Quando você cria usuários do PostgreSQL, eles começam apenas com o privilégio LOGIN
.
Para mais informações sobre esses privilégios, consulte
CREATE USER
.
É possível mudar os privilégios de qualquer usuário usando o comando
ALTER ROLE
. Se você criar um novo usuário com o cliente psql
, será possível associá-lo
a um papel diferente ou conceder outros privilégios a ele.
Gerenciar usuários
É possível criar e gerenciar usuários do AlloyDB com a Google Cloud CLI ou usando comandos do PostgreSQL. As seções a seguir demonstram tarefas comuns de gerenciamento de usuários usando um dos métodos.
Antes de começar
Para usar comandos do PostgreSQL e gerenciar usuários em um cluster, você precisa do seguinte:
- Acesso ao cliente
psql
- Acesso ao usuário do banco de dados
postgres
ou a outra função de usuário com os privilégios administrativos adequados
Para usar o console Google Cloud ou a Google Cloud CLI para gerenciar usuários em um cluster, ele precisa ter uma instância principal. Se o cluster não tiver uma instância principal, crie uma antes de gerenciar usuários.
Criar um usuário de banco de dados
Para criar um usuário de banco de dados que se autentica diretamente com o banco de dados usando um nome de usuário e uma senha, também conhecida como autenticação integrada, siga as etapas desta seção.
Para criar um usuário do banco de dados que use o Identity and Access Management (IAM) para autenticar, consulte Gerenciar a autenticação do IAM.
Console
Acesse a página Clusters.
Clique no nome do cluster em que você quer adicionar um usuário.
Clique em Usuários.
Clique em Adicionar conta de usuário.
Deixe a opção Autenticação integrada selecionada.
Se você quiser usar o IAM para autenticar e fazer login nos clusters de banco de dados, siga mais etapas para preparar o projeto e conceder as permissões adequadas ao novo usuário. Para mais informações, consulte Gerenciar a autenticação do IAM.
Insira um nome de usuário e uma senha para o novo usuário.
Para atribuir ao usuário funções diferentes da
alloydbsuperuser
padrão, siga estas etapas:- Insira o nome da função em Funções.
- Para adicionar a função, pressione Enter ou Tab.
Selecione x para remover um papel do usuário.
Para mais informações, consulte Papéis predefinidos.
Clique em Adicionar.
psql
CREATE USER USERNAME WITH PASSWORD PASSWORD;
Para mais informações sobre como criar e definir usuários do banco de dados, consulte
CREATE USER
.
Depois de criar um usuário, é possível mudar os privilégios dele usando o comando
ALTER ROLE
no cliente psql
.
gcloud
Use o seguinte comando
gcloud alloydb users create
:
gcloud alloydb users create USERNAME \
--password=PASSWORD \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua as seguintes variáveis:
USERNAME
: nome de usuário do usuário.USERNAME
precisa seguir as regras para identificadores SQL: sem caracteres especiais ou entre aspas duplas. Por exemplo,db_user_1
.PASSWORD
: senha do usuário. Para criar o usuário sem uma senha, omita esse argumento.CLUSTER_ID
: ID do cluster em que o usuário será adicionado.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Depois de criar um usuário, é possível mudar os privilégios dele usando o comando
gcloud alloydb users set-roles
.
Além disso, é possível conceder papéis ou privilégios de superusuário a um usuário ao
criá-lo. Para fazer isso, inclua os argumentos --db-roles
ou --superuser
, conforme descrito na seção a seguir.
Conceder papéis a um usuário do banco de dados
Console
Para conceder papéis a um usuário do banco de dados, use psql
ou a CLI gcloud,
em vez do console do Google Cloud .
psql
GRANT ROLE to USERNAME;
Substitua as seguintes variáveis:
USERNAME
: nome de usuário do usuário.ROLE
: papel a ser concedido ao usuário. Por exemplo, para conceder ao usuário privilégios de superusuário, conceda a elealloydbsuperuser
.
gcloud
Use o seguinte comando gcloud alloydb users set-roles
para especificar todas as funções que você quer que o usuário tenha:
gcloud alloydb users set-roles USERNAME \
--db-roles=ROLES \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua as seguintes variáveis:
USERNAME
: nome de usuário do usuário.ROLES
: lista separada por vírgulas de todos os papéis que você quer que o usuário tenha. Liste todos os papéis, incluindo os atuais e os novos.Para encontrar a lista de papéis atribuídos ao usuário, execute o seguinte comando:
gcloud alloydb users list --cluster=CLUSTER_ID --region=REGION_ID
Substitua as seguintes variáveis:
CLUSTER_ID
: ID do cluster que contém o usuário.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Para conceder privilégios de superusuário a um usuário, conceda manualmente a ele a função
alloydbsuperuser
usandopsql
ou execute o comandogcloud alloydb users set-superuser
com o argumento--superuser=true
:gcloud alloydb users set-superuser USERNAME \ --superuser=true \ --cluster=CLUSTER_ID \ --region=REGION_ID
Substitua as seguintes variáveis:
CLUSTER_ID
: ID do cluster que contém o usuário.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Mudar a senha de um usuário do banco de dados
Para definir uma nova senha para um usuário padrão do banco de dados PostgreSQL, siga as etapas nesta seção.
Não é possível mudar ou definir a senha de um usuário baseado no IAM porque os usuários do IAM não usam senhas para autenticar. Para mais informações, consulte Conectar usando uma conta do IAM.
Console
Acesse a página Clusters.
Clique no nome do cluster que contém o usuário do banco de dados.
Clique em Usuários.
Na linha que representa o usuário, clique em
Abrir ações para este usuário.Selecione Alterar senha.
Especifique uma senha:
Para definir uma nova senha para esse usuário, digite a senha no campo Senha.
Para não definir uma senha para esse usuário, marque a caixa de seleção Sem senha.
Clique em OK.
psql
ALTER USER USERNAME WITH PASSWORD PASSWORD;
Para mais informações sobre como mudar a senha de um usuário, consulte
ALTER ROLE
.
gcloud
Use o seguinte comando
gcloud alloydb users set-password
:
gcloud alloydb users set-password USERNAME \
--password=PASSWORD \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua as seguintes variáveis:
USERNAME
: nome de usuário do usuário.PASSWORD
: nova senha a ser atribuída ao usuário.CLUSTER_ID
: ID do cluster a que o usuário pertence.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Revogar uma função de um usuário do banco de dados
Console
Para revogar papéis de um usuário, use psql
ou a CLI gcloud,
em vez do console do Google Cloud .
psql
É possível revogar privilégios concedidos anteriormente de uma ou mais funções ou revogar a associação de um usuário a uma função, conforme mostrado:
REVOKE ROLE FROM USERNAME;
Para remover os privilégios de superusuário de um usuário, revogue o papel alloydbsuperuser
dele.
gcloud
Para revogar uma função com a CLI do Google Cloud, use o seguinte comando
gcloud alloydb users set-roles
para especificar todas as funções que você quer que o usuário tenha e omitir
funções a serem revogadas do usuário:
gcloud alloydb users set-roles USERNAME \
--db-roles=ROLES \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua as seguintes variáveis:
USERNAME
: nome de usuário do usuário.ROLES
: lista separada por vírgulas de todos os papéis que você quer que o usuário tenha. Liste todas as funções, incluindo as atuais e as novas.Para encontrar a lista de papéis atribuídos ao usuário, execute o seguinte comando:
gcloud alloydb users list --cluster=CLUSTER_ID --region=REGION_ID
CLUSTER_ID
: ID do cluster que contém o usuário.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Para revogar os privilégios de superusuário, remova manualmente a função
alloydbsuperuser
de um usuário usando psql
ou execute o comando
gcloud alloydb users set-superuser
com o argumento --superuser=false
.
Conferir uma lista de usuários do banco de dados
Console
Acesse a página Clusters.
Clique no nome do cluster cujos usuários você quer visualizar.
Clique em Usuários.
psql
Use o comando \du
a seguir para imprimir uma tabela de todos os usuários do banco de dados,
incluindo as associações a grupos:
\du
gcloud
Use o seguinte comando
gcloud alloydb users list
:
gcloud alloydb users list \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua:
CLUSTER_ID
: ID do cluster que contém os usuários.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.
Excluir um usuário do banco de dados
Console
Acesse a página Clusters.
Clique no nome do cluster que contém o usuário.
Clique em Usuários.
Na linha que representa o usuário, clique em
Abrir ações para este usuário.Selecione Remover.
Na caixa de diálogo Remover conta de usuário?, clique em Remover.
psql
Antes de excluir um usuário, você precisa descartar ou reatribuir todos os objetos que ele possui e revogar os privilégios concedidos a ele em outros objetos. Use o seguinte:
DROP ROLE USERNAME;
gcloud
Use o seguinte comando
gcloud alloydb users delete
:
gcloud alloydb users delete USERNAME \
--cluster=CLUSTER_ID \
--region=REGION_ID
Substitua:
USERNAME
: nome de usuário do usuário.CLUSTER_ID
: ID do cluster a que o usuário pertence.REGION_ID
: ID da região em que o cluster está localizado. Por exemplo,us-central1
.