Questa pagina fornisce una panoramica su come gestire gli utenti del database in AlloyDB per PostgreSQL e abilitare l'autenticazione Identity and Access Management (IAM) per questi utenti del database.
Come funziona la gestione degli utenti del database
AlloyDB condivide gli stessi concetti di ruoli, utenti e gruppi di PostgreSQL. Per una breve spiegazione, consulta le seguenti descrizioni:
Ruolo: designazione di primo livello che descrive sia gli utenti del database sia i gruppi di utenti del database in un cluster. I ruoli forniscono e limitano l'accesso agli oggetti del database, come tabelle e funzioni.
Utente: ruolo a cui viene assegnato l'attributo
LOGIN. Gli utenti possono autenticarsi e accedere ai cluster di database AlloyDB.Gruppo: ruolo concesso a uno o più utenti. Lo scopo dei gruppi è controllare i privilegi che molti utenti hanno nel loro complesso.
Come funziona l'autenticazione del database
Per autenticarti e accedere ai tuoi cluster di database AlloyDB, hai due opzioni:
- Autenticazione standard basata su password di PostgreSQL: Verifica l'identità dell'utente confrontando le credenziali fornite con le password archiviate e sottoposte ad hashing. I metodi supportati includono md5, scram-sha-256 e password.
- Autenticazione IAM: Consente agli utenti del database di autenticarsi utilizzando IAM per una maggiore sicurezza e controllo dell'accesso centralizzato in altri serviziGoogle Cloud .
Ruoli predefiniti
PostgreSQL fornisce ruoli predefiniti con vari privilegi. Oltre a questi ruoli predefiniti, AlloyDB fornisce diversi altri ruoli predefiniti per utenti e gruppi.
Le tabelle seguenti elencano i ruoli e i privilegi dei ruoli forniti da AlloyDB.
| Nome ruolo | Privilegi |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB e LOGIN. |
postgres |
CREATEROLE, CREATEDB e LOGIN. |
alloydbimportexport |
CREATEROLE e CREATEDB. |
alloydbagent |
CREATEROLE e CREATEDB. |
alloydbreplica |
REPLICATION |
alloydbiamuser |
Per impostazione predefinita, questo ruolo non dispone di privilegi. |
Le seguenti sottosezioni spiegano a cosa servono alcuni di questi ruoli.
alloydbsuperuser ruolo gruppo
alloydbsuperuser ti consente di configurare il sistema di database ed eseguire altre
attività di superutente. Questo ruolo ha i seguenti privilegi:
- Creare estensioni che richiedono privilegi di superuser
- Creare trigger evento
- Crea utenti di replica
- Crea pubblicazioni e sottoscrizioni di replica
In quanto servizio gestito, AlloyDB non consente di concedere agli utenti il ruolo
superuser PostgreSQL. Puoi invece concedere a qualsiasi utente del database
privilegi di superuser AlloyDB concedendogli il ruolo
alloydbsuperuser.
Ruolo utente postgres
Il ruolo utente postgres fa parte di alloydbsuperuser. Quando crei un cluster AlloyDB, assegni una password a postgres. Poi, accedi al sistema utilizzando postgres per eseguire attività come la creazione di database o ruoli aggiuntivi.
Ruolo utente alloydbimportexport
Quando crei un cluster AlloyDB, AlloyDB
crea alloydbimportexport con il set minimo di privilegi
richiesti per le operazioni di importazione ed esportazione.
Hai la possibilità di creare i tuoi utenti per eseguire queste operazioni. Se non crei un utente alloydbimportexport personalizzato, il sistema utilizza l'utente alloydbimportexport predefinito per le operazioni di importazione ed esportazione.
alloydbimportexport è un utente di sistema. Ciò significa che non puoi utilizzare direttamente l'utente alloydbimportexport per accedere o eseguire altre operazioni nei tuoi database PostgreSQL.
Ruolo utente alloydbagent
Il ruolo alloydbagent è un ruolo di sistema AlloyDB interno. È gestito dal servizio AlloyDB e non può essere concesso manualmente agli account di database, il che garantisce il corretto funzionamento del database e delle sue funzionalità.
Ruolo utente alloydbreplica
Il ruolo alloydbreplica è un ruolo di sistema AlloyDB interno. È gestito dal servizio AlloyDB e non può essere concesso manualmente agli account di database, il che garantisce il corretto funzionamento del database e delle sue funzionalità.
alloydbiamuser ruolo gruppo
Gli utenti del database all'interno del gruppo alloydbiamuser si autenticano con un'istanza AlloyDB utilizzando IAM, anziché l'autenticazione basata su password standard di PostgreSQL.
AlloyDB non consente di concedere alloydbiamuser agli utenti
utilizzando il comando PostgreSQL GRANT o metodi simili. Puoi invece utilizzare
gli strumenti di amministrazione di AlloyDB per creare e gestire
gli utenti del database basati su IAM. Per ulteriori informazioni, consulta
Gestire l'autenticazione IAM.
Passaggi successivi
Scopri come gestire ruoli, utenti e gruppi PostgreSQL per AlloyDB utilizzando l'autenticazione standard.
Scopri come gestire l'autenticazione IAM.