Questa pagina fornisce una panoramica su come gestire gli utenti del database in AlloyDB per PostgreSQL e abilitare l'autenticazione Identity and Access Management (IAM) per questi utenti del database.
Come funziona la gestione degli utenti del database
AlloyDB condivide gli stessi concetti di ruoli, utenti e gruppi di PostgreSQL. Per una breve spiegazione, consulta le seguenti descrizioni:
Ruolo:la designazione di primo livello che descrive sia gli utenti del database sia i gruppi di utenti del database in un cluster. I ruoli forniscono e limitano l'accesso agli oggetti del database, come tabelle e funzioni.
Utente:il ruolo a cui è stato assegnato l'attributo
LOGIN. Gli utenti possono autenticarsi e accedere ai cluster di database AlloyDB.Gruppo:il ruolo concesso a uno o più utenti. Lo scopo dei gruppi è controllare i privilegi che molti utenti hanno nel loro complesso.
Come funziona l'autenticazione del database
Per autenticarti e accedere ai tuoi cluster di database AlloyDB, hai due opzioni:
- Autenticazione basata su password PostgreSQL integrata:
per verificare l'identità dell'utente, AlloyDB confronta le credenziali fornite
con le password archiviate e sottoposte ad hashing. I metodi supportati
includono
md5,scram-sha-256epassword. - Autenticazione IAM: consente agli utenti del database di autenticarsi utilizzando IAM. In questo modo la sicurezza viene migliorata e controllo dell'accesso viene centralizzato in altri serviziGoogle Cloud .
Ruoli predefiniti
PostgreSQL fornisce ruoli predefiniti con vari privilegi. Oltre a questi ruoli predefiniti, AlloyDB fornisce molti altri ruoli predefiniti per utenti e gruppi.
Le seguenti tabelle elencano i ruoli e i privilegi dei ruoli forniti da AlloyDB:
| Nome ruolo | Privilegi |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB e LOGIN. |
postgres |
CREATEROLE, CREATEDB e LOGIN. |
alloydbimportexport |
CREATEROLE e CREATEDB. |
alloydbagent |
CREATEROLE e CREATEDB. |
alloydbreplica |
REPLICATION |
alloydbiamuser |
Per impostazione predefinita, questo ruolo non dispone di privilegi. |
Le seguenti sottosezioni spiegano gli utilizzi di questi ruoli.
alloydbsuperuser ruolo gruppo
alloydbsuperuser ti consente di configurare il sistema di database ed eseguire altre
attività di superutente. Questo ruolo dispone dei seguenti privilegi:
- Creare estensioni che richiedono privilegi di superuser
- Creare trigger evento
- Crea utenti di replica
- Crea pubblicazioni e sottoscrizioni di replica
In quanto servizio gestito, AlloyDB non consente di concedere agli utenti il ruolo
superuser di PostgreSQL. Puoi invece concedere a qualsiasi utente del database
privilegi di superutente AlloyDB se gli concedi il
ruolo alloydbsuperuser.
Ruolo utente postgres
Il ruolo utente postgres fa parte di alloydbsuperuser. Quando crei un cluster AlloyDB, assegni una password a postgres. Poi, accedi al sistema utilizzando postgres per eseguire attività come la creazione di database o ruoli aggiuntivi.
Ruolo utente alloydbimportexport
Quando crei un cluster AlloyDB, AlloyDB
crea alloydbimportexport con il set minimo di privilegi richiesti per
le operazioni di importazione ed esportazione.
Hai la possibilità di creare i tuoi utenti per eseguire queste operazioni. Se non crei un utente alloydbimportexport personalizzato, il sistema utilizza l'utente alloydbimportexport predefinito per le operazioni di importazione ed esportazione.
alloydbimportexport è un utente di sistema. Ciò significa che non puoi utilizzare direttamente l'utente alloydbimportexport per accedere o eseguire altre operazioni nei tuoi database PostgreSQL.
Ruolo utente alloydbagent
Il ruolo alloydbagent è un ruolo di sistema AlloyDB interno. Il servizio
AlloyDB gestisce il ruolo e non puoi concederlo manualmente
agli account di database. Questa gestione garantisce il corretto funzionamento del database e delle relative funzionalità.
Ruolo utente alloydbreplica
Il ruolo alloydbreplica è un ruolo di sistema AlloyDB interno. Il servizio
AlloyDB gestisce il ruolo e non puoi concederlo manualmente
agli account di database. Questa gestione garantisce il corretto funzionamento del database e delle relative funzionalità.
alloydbiamuser ruolo gruppo
Gli utenti del database all'interno del gruppo alloydbiamuser si autenticano con un'istanza AlloyDB utilizzando IAM, anziché l'autenticazione basata su password PostgreSQL integrata.
AlloyDB non consente di concedere alloydbiamuser agli utenti
utilizzando il comando PostgreSQL GRANT o metodi simili. Puoi invece utilizzare
gli strumenti di amministrazione di AlloyDB per creare e gestire
gli utenti del database basati su IAM. Per ulteriori informazioni, consulta
Gestire l'autenticazione IAM.
Passaggi successivi
Scopri come gestire ruoli, utenti e gruppi PostgreSQL per AlloyDB utilizzando l'autenticazione integrata.
Scopri come gestire l'autenticazione IAM.