本頁說明如何授予 Google Cloud 使用者帳戶或服務帳戶存取專案中所有 AlloyDB 資源的權限。
視您希望帳戶擁有的控制範圍而定,您可以授予下列其中一個預先定義的 IAM 角色:
roles/alloydb.admin(Cloud AlloyDB 管理員) 授予所有 AlloyDB 資源的完整控制權roles/alloydb.client(Cloud AlloyDB 用戶端) 和roles/serviceusage.serviceUsageConsumer(服務使用量消費者),授予從用戶端連線至 AlloyDB 執行個體的權限,這些用戶端會透過 AlloyDB Auth Proxy 連線roles/alloydb.databaseUser(Cloud AlloyDB 資料庫使用者),將資料庫使用者驗證授予 AlloyDB 執行個體roles/alloydb.viewer(Cloud AlloyDB 檢視者),授予所有 AlloyDB 資源的唯讀存取權
如要進一步瞭解這些角色提供的特定 IAM 權限,請參閱預先定義的 AlloyDB IAM 角色。
事前準備
- 您使用的 Google Cloud 專案必須已啟用 AlloyDB 存取權。
- 您必須在使用的 Google Cloud 專案中具備
roles/owner(擁有者) 基本 IAM 角色,或是具備授予下列權限的角色:resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicy
如要在遵循最小權限原則的情況下取得這些權限,請要求管理員授予您
roles/resourcemanager.projectIamAdmin(專案 IAM 管理員) 角色。 -
在您使用的 Google Cloud 專案中啟用 Cloud Resource Manager API。
程序
控制台
- 前往 Google Cloud 控制台的「IAM」IAM頁面。
- 選取已啟用 AlloyDB 存取權的專案。
- 選取要授予存取權的主體 (使用者或服務帳戶):
- 如要將角色授予專案中已有其他角色的主體,請找出含有主體電子郵件地址的資料列,然後點選該列中的 「Edit principal」(編輯主體),並按一下 「Add another role」(新增其他角色)。
- 如要將角色授予專案中沒有其他角色的主體,請按一下 「新增」,然後輸入主體的電子郵件地址。
- 從下拉式清單中選取下列其中一個角色:
- Cloud AlloyDB 管理員
- Cloud AlloyDB 檢視者
- Cloud AlloyDB 用戶端和服務用量消費者
- Cloud AlloyDB 資料庫使用者
- 按一下 [儲存]。主體就會取得指定角色。
gcloud
如要使用 gcloud CLI,您可以安裝及初始化 Google Cloud CLI,也可以使用 Cloud Shell。
使用 add-iam-policy-binding 指令,將 AlloyDB 預先定義的角色授予 IAM 主體 (使用者帳戶或服務帳戶)。
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=ALLOYDB_ROLE
PROJECT_ID:已啟用 AlloyDB 存取權的專案 ID。PRINCIPAL:主體的類型和電子郵件 ID (電子郵件地址):- 使用者帳戶:
user:EMAIL_ID - 服務帳戶:
serviceAccount:EMAIL_ID
- 使用者帳戶:
ALLOYDB_ROLE:您要授予主體的角色。這個值必須是下列其中一個:roles/alloydb.adminroles/alloydb.viewerroles/alloydb.client和roles/serviceusage.serviceUsageConsumerroles/alloydb.databaseUser
如要瞭解這些角色授予的權限,請參閱預先定義的 AlloyDB IAM 角色。