Conceda acesso a outros utilizadores

Esta página descreve como conceder a uma conta de utilizador ou a uma conta de serviço acesso a todos os recursos do AlloyDB num projeto. Google Cloud

Consoante o âmbito de controlo que quer que a conta tenha, atribui-lhe uma destas funções de IAM predefinidas:

  • roles/alloydb.admin (administrador do AlloyDB no Google Cloud) para conceder controlo total a todos os recursos do AlloyDB
  • roles/alloydb.client (cliente do AlloyDB na nuvem) e roles/serviceusage.serviceUsageConsumer (consumidor de utilização do serviço) para conceder acesso de conetividade a instâncias do AlloyDB a partir de clientes que se ligam com o proxy Auth do AlloyDB
  • roles/alloydb.databaseUser (utilizador da base de dados do AlloyDB na nuvem) para conceder autenticação de utilizador da base de dados a instâncias do AlloyDB
  • roles/alloydb.viewer (Visitante do Cloud AlloyDB) para conceder acesso só de leitura a todos os recursos do AlloyDB

Para informações detalhadas sobre as autorizações de IAM específicas que estas funções oferecem, consulte o artigo Funções de IAM do AlloyDB predefinidas.

Antes de começar

  • O Google Cloud projeto que está a usar tem de ter sido ativado para aceder ao AlloyDB.
  • Tem de ter a função básica de IAM roles/owner (proprietário) no Google Cloud projeto que está a usar ou uma função que conceda estas autorizações:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para obter estas autorizações seguindo o princípio do menor privilégio, peça ao administrador para lhe conceder a função roles/resourcemanager.projectIamAdmin (administrador da IAM do projeto).

  • Ative a API Cloud Resource Manager no Google Cloud projeto que está a usar.

    Ative a API

Procedimento

Consola

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda ao IAM

  2. Selecione o projeto ativado para aceder ao AlloyDB.
  3. Selecione um principal (utilizador ou conta de serviço) para conceder acesso:
    • Para conceder uma função a um principal que já tenha outras funções no projeto, encontre a linha que contém o endereço de email do principal, clique em Editar principal nessa linha e clique em Adicionar outra função.
    • Para conceder uma função a um principal que ainda não tenha outras funções no projeto, clique em Adicionar e, de seguida, introduza o endereço de email do principal.
  4. Na lista pendente, selecione uma destas funções:
    • Administrador do Cloud AlloyDB
    • Visualizador do Cloud AlloyDB
    • Cliente do AlloyDB na nuvem e Consumidor de utilização de serviços
    • Utilizador da base de dados do Cloud AlloyDB
  5. Clique em Guardar. A função é concedida ao principal.

gcloud

Para usar a CLI gcloud, pode instalar e inicializar a CLI Google Cloud ou usar a Cloud Shell.

Use o comando add-iam-policy-binding para conceder uma função predefinida do AlloyDB a um principal do IAM (conta de utilizador ou conta de serviço).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: o ID do projeto ativado para aceder ao AlloyDB.
  • PRINCIPAL: o tipo e o ID de email (endereço de email) do principal:
    • Para contas de utilizador: user:EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: a função que quer conceder ao principal. O valor tem de ser um dos seguintes:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client e roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para ver detalhes sobre as autorizações que estas funções concedem, consulte as funções de IAM predefinidas do AlloyDB.