Anderen Nutzern Zugriff gewähren

Auf dieser Seite wird beschrieben, wie Sie einem Nutzerkonto oder Dienstkonto von Google Cloud Zugriff auf AlloyDB-Ressourcen in einem Projekt gewähren.

Je nachdem, welche Zugriffsrechte das Konto haben soll, gewähren Sie ihm eine der folgenden vordefinierten IAM-Rollen:

  • roles/alloydb.admin (Cloud AlloyDB Admin), um die vollständige Kontrolle über alle AlloyDB-Ressourcen zu gewähren
  • roles/alloydb.client (Cloud AlloyDB-Client) und roles/serviceusage.serviceUsageConsumer (Nutzer der Dienstnutzung), um Clients, die eine Verbindung zum AlloyDB Auth-Proxy herstellen, Zugriff auf AlloyDB-Instanzen zu gewähren
  • roles/alloydb.databaseUser (Cloud AlloyDB Database User), um AlloyDB-Instanzen die Datenbanknutzerauthentifizierung zu gewähren
  • roles/alloydb.viewer (Cloud AlloyDB-Betrachter), um Lesezugriff auf alle AlloyDB-Ressourcen zu gewähren

Ausführliche Informationen zu den spezifischen IAM-Berechtigungen, die diese Rollen bieten, finden Sie unter Vordefinierte AlloyDB-IAM-Rollen.

Hinweise

  • Für das von Ihnen verwendete Google Cloud -Projekt muss der Zugriff auf AlloyDB aktiviert worden sein.
  • Sie benötigen die grundlegende IAM-Rolle roles/owner (Owner) im von Ihnen verwendeten Google Cloud -Projekt oder eine Rolle, die die folgenden Berechtigungen gewährt:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Bitten Sie Ihren Administrator, Ihnen die Rolle roles/resourcemanager.projectIamAdmin (IAM-Administrator für das Projekt) zuzuweisen, damit Sie diese Berechtigungen erhalten und dabei dem Prinzip der geringsten Berechtigung folgen.

  • Aktivieren Sie die Cloud Resource Manager API in dem von Ihnen verwendeten Google Cloud -Projekt.

    API aktivieren

Prozedur

Konsole

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    IAM aufrufen

  2. Wählen Sie das Projekt aus, das für den Zugriff auf AlloyDB aktiviert ist.
  3. Wählen Sie ein Hauptkonto (Nutzer- oder Dienstkonto) aus, um Zugriff auf Folgendes zu gewähren:
    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das bereits andere Rollen für das Projekt hat, suchen Sie die Zeile mit der E-Mail-Adresse des Hauptkontos, klicken Sie in dieser Zeile auf Hauptkonto bearbeiten und dann auf Weitere Rolle hinzufügen.
    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine anderen Rollen für das Projekt hat, klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adresse des Hauptkontos ein.
  4. Wählen Sie in der Drop-down-Liste eine der folgenden Rollen aus:
    • Cloud AlloyDB-Administrator
    • Cloud AlloyDB-Betrachter
    • Cloud AlloyDB-Client und Nutzer der Dienstnutzung
    • Cloud AlloyDB Database User
  5. Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle zugewiesen.

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

Mit dem Befehl add-iam-policy-binding können Sie einem IAM-Hauptkonto (Nutzerkonto oder Dienstkonto) eine vordefinierte AlloyDB-Rolle zuweisen.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: Die ID des Projekts, das auf AlloyDB zugreifen darf.
  • PRINCIPAL: Typ und E-Mail-ID (E-Mail-Adresse) des Hauptkontos:
    • Für Nutzerkonten: user:EMAIL_ID
    • Für Dienstkonten: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: Die Rolle, die Sie dem Hauptkonto zuweisen möchten. Der Wert muss einer der folgenden sein:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client und roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Weitere Informationen zu den Berechtigungen, die diese Rollen gewähren, finden Sie unter Vordefinierte AlloyDB-IAM-Rollen.