Esta página oferece uma vista geral sobre como gerir utilizadores da base de dados no AlloyDB para PostgreSQL e ativar a autenticação da gestão de identidade e acesso (IAM) para esses utilizadores da base de dados.
Como funciona a gestão de utilizadores da base de dados
O AlloyDB partilha os mesmos conceitos de funções, utilizadores e grupos que o PostgreSQL. Para uma breve explicação, consulte as seguintes descrições:
Função: a designação de nível superior que descreve os utilizadores da base de dados e os grupos de utilizadores da base de dados num cluster. As funções concedem e restringem o acesso a objetos da base de dados, como tabelas e funções.
Utilizador: a função atribuída ao atributo
LOGIN. Os utilizadores podem autenticar e iniciar sessão em clusters de bases de dados do AlloyDB.Grupo: a função concedida a um ou mais utilizadores. O objetivo dos grupos é controlar os privilégios que muitos utilizadores têm como um todo.
Como funciona a autenticação da base de dados
Para autenticar e iniciar sessão nos seus clusters de bases de dados do AlloyDB, tem duas opções:
- Autenticação baseada em palavras-passe do PostgreSQL incorporada:
para validar a identidade do utilizador, o AlloyDB compara as credenciais
fornecidas com as palavras-passe com hash armazenadas. Os métodos suportados incluem
md5,scram-sha-256epassword. - Autenticação IAM: permite que os utilizadores da base de dados façam a autenticação através do IAM. Isto oferece segurança melhorada e centraliza o controlo de acesso noutros Google Cloud serviços.
Funções predefinidas
O PostgreSQL oferece funções predefinidas com vários privilégios. Além destas funções predefinidas, o AlloyDB oferece várias outras funções predefinidas de utilizador e grupo.
As tabelas seguintes indicam as funções e os privilégios das funções que o AlloyDB oferece:
| Nome da função | Privilégios |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB e LOGIN. |
postgres |
CREATEROLE, CREATEDB e LOGIN. |
alloydbimportexport |
CREATEROLE e CREATEDB selecionados. |
alloydbagent |
CREATEROLE e CREATEDB selecionados. |
alloydbreplica |
REPLICATION |
alloydbiamuser |
Por predefinição, esta função não tem privilégios. |
As subsecções seguintes explicam as utilizações destas funções.
alloydbsuperuser função no grupo
alloydbsuperuser permite-lhe configurar o sistema de base de dados e realizar outras tarefas de superutilizador. Esta função tem os seguintes privilégios:
- Crie extensões que requerem privilégios de superutilizador
- Crie acionadores de eventos
- Crie utilizadores de replicação
- Crie publicações e subscrições de replicação
Como serviço gerido, o AlloyDB não lhe permite conceder aos utilizadores a função superuser do PostgreSQL. Em alternativa, pode conceder privilégios de superutilizador do AlloyDB a qualquer utilizador da base de dados se lhe atribuir a função alloydbsuperuser.
postgres função de utilizador
A função de utilizador postgres faz parte de alloydbsuperuser. Quando cria um cluster do AlloyDB, atribui uma palavra-passe a postgres. Em seguida, inicia sessão no sistema com postgres para realizar tarefas como criar bases de dados ou funções adicionais.
alloydbimportexport função de utilizador
Quando cria um cluster do AlloyDB, o AlloyDB
cria alloydbimportexport com o conjunto mínimo de privilégios necessários para
operações de importação e exportação.
Tem a opção de criar os seus próprios utilizadores para realizar estas operações. Se não criar um utilizador alloydbimportexport personalizado, o sistema usa o utilizador alloydbimportexport predefinido para operações de importação e exportação.
alloydbimportexport é um utilizador do sistema. Isto significa que não pode usar diretamente o utilizador alloydbimportexport para iniciar sessão ou realizar outras operações nas suas bases de dados PostgreSQL.
alloydbagent função de utilizador
A função alloydbagent é uma função do sistema AlloyDB interna. O serviço AlloyDB gere a função e não a pode conceder manualmente a contas de base de dados. Esta gestão garante que a base de dados e as respetivas funcionalidades
funcionam corretamente.
alloydbreplica função de utilizador
A função alloydbreplica é uma função do sistema AlloyDB interna. O serviço AlloyDB gere a função e não a pode conceder manualmente a contas de base de dados. Esta gestão garante que a base de dados e as respetivas funcionalidades
funcionam corretamente.
alloydbiamuser função no grupo
Os utilizadores da base de dados no grupo alloydbiamuser autenticam-se com uma instância do AlloyDB através do IAM, em vez de usarem a autenticação baseada em palavras-passe incorporada do PostgreSQL.
O AlloyDB não lhe permite conceder alloydbiamuser aos utilizadores
através do comando GRANT do PostgreSQL ou de métodos semelhantes. Em alternativa, pode usar as ferramentas administrativas do AlloyDB para criar e gerir utilizadores da base de dados baseados no IAM. Para mais informações, consulte o artigo
Faça a gestão da autenticação do IAM.
O que se segue?
Saiba como gerir funções, utilizadores e grupos do PostgreSQL para o AlloyDB através da autenticação integrada.
Saiba como gerir a autenticação IAM.