Conceder acceso a otros usuarios

En esta página se describe cómo conceder acceso a una cuenta de usuario o a una cuenta de servicio a todos los recursos de AlloyDB de un proyecto. Google Cloud

En función del ámbito de control que quieras que tenga la cuenta, puedes concederle uno de estos roles de gestión de identidades y accesos predefinidos:

  • roles/alloydb.admin (Administrador de AlloyDB en Cloud) para conceder control total sobre todos los recursos de AlloyDB
  • roles/alloydb.client (cliente de AlloyDB en la nube) y roles/serviceusage.serviceUsageConsumer (consumidor de uso de servicios) para conceder acceso de conectividad a las instancias de AlloyDB desde los clientes que se conectan con el proxy de autenticación de AlloyDB
  • roles/alloydb.databaseUser (Usuario de base de datos de AlloyDB de Cloud) para conceder autenticación de usuario de base de datos a instancias de AlloyDB
  • roles/alloydb.viewer (Lector de AlloyDB en Cloud) para conceder acceso de solo lectura a todos los recursos de AlloyDB

Para obtener información detallada sobre los permisos de gestión de identidades y accesos específicos que proporcionan estos roles, consulta Roles de gestión de identidades y accesos predefinidos de AlloyDB.

Antes de empezar

  • El Google Cloud proyecto que estés usando debe tener habilitado el acceso a AlloyDB.
  • Debes tener el rol básico de gestión de identidades y accesos roles/owner (Propietario) en el Google Cloud proyecto que estés usando o un rol que te conceda estos permisos:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para obtener estos permisos y seguir el principio de mínimos accesos, pide a tu administrador que te conceda el rol roles/resourcemanager.projectIamAdmin (Administrador de gestión de identidades y accesos del proyecto).

  • Habilita la API de Cloud Resource Manager en el Google Cloud proyecto que estés usando.

    Habilitar la API

Procedimiento

Consola

  1. En la consola, ve a la página Gestión de identidades y accesos. Google Cloud

    Ir a IAM

  2. Selecciona el proyecto habilitado para acceder a AlloyDB.
  3. Selecciona un principal (usuario o cuenta de servicio) para concederle acceso:
    • Para conceder un rol a un principal que ya tiene otros roles en el proyecto, busca la fila que contiene la dirección de correo del principal, haz clic en Editar principal en esa fila y, a continuación, en Añadir otro rol.
    • Para asignar un rol a un principal que aún no tenga otros roles en el proyecto, haz clic en Añadir y, a continuación, introduce la dirección de correo del principal.
  4. En la lista desplegable, selecciona uno de estos roles:
    • Administrador de AlloyDB en Cloud
    • Lector de AlloyDB de Cloud
    • Cliente de AlloyDB en la nube y Consumidor de uso de servicios
    • Usuario de base de datos de AlloyDB en Cloud
  5. Haz clic en Guardar. Se asigna el rol a la cuenta principal.

gcloud

Para usar la CLI de gcloud, puedes instalar e inicializar Google Cloud CLI o usar Cloud Shell.

Usa el comando add-iam-policy-binding para asignar un rol predefinido de AlloyDB a una entidad de gestión de identidades y accesos (cuenta de usuario o cuenta de servicio).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: el ID del proyecto habilitado para acceder a AlloyDB.
  • PRINCIPAL: el tipo y el ID de correo (dirección de correo electrónico) del principal:
    • En el caso de las cuentas de usuario: user:EMAIL_ID
    • En el caso de las cuentas de servicio: serviceAccount:EMAIL_ID
  • ALLOYDB_ROLE: el rol que quieres asignar a la cuenta principal. El valor debe ser uno de los siguientes:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client y roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para obtener más información sobre los permisos que conceden estos roles, consulta Roles de gestión de identidades y accesos predefinidos de AlloyDB.