En esta página se describe cómo conceder acceso a una cuenta de usuario o a una cuenta de servicio a todos los recursos de AlloyDB de un proyecto. Google Cloud
En función del ámbito de control que quieras que tenga la cuenta, puedes concederle uno de estos roles de gestión de identidades y accesos predefinidos:
roles/alloydb.admin(Administrador de AlloyDB en Cloud) para conceder control total sobre todos los recursos de AlloyDBroles/alloydb.client(cliente de AlloyDB en la nube) yroles/serviceusage.serviceUsageConsumer(consumidor de uso de servicios) para conceder acceso de conectividad a las instancias de AlloyDB desde los clientes que se conectan con el proxy de autenticación de AlloyDBroles/alloydb.databaseUser(Usuario de base de datos de AlloyDB de Cloud) para conceder autenticación de usuario de base de datos a instancias de AlloyDBroles/alloydb.viewer(Lector de AlloyDB en Cloud) para conceder acceso de solo lectura a todos los recursos de AlloyDB
Para obtener información detallada sobre los permisos de gestión de identidades y accesos específicos que proporcionan estos roles, consulta Roles de gestión de identidades y accesos predefinidos de AlloyDB.
Antes de empezar
- El Google Cloud proyecto que estés usando debe tener habilitado el acceso a AlloyDB.
- Debes tener el rol básico de gestión de identidades y accesos
roles/owner(Propietario) en el Google Cloud proyecto que estés usando o un rol que te conceda estos permisos:resourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.setIamPolicy
Para obtener estos permisos y seguir el principio de mínimos accesos, pide a tu administrador que te conceda el rol
roles/resourcemanager.projectIamAdmin(Administrador de gestión de identidades y accesos del proyecto). -
Habilita la API de Cloud Resource Manager en el Google Cloud proyecto que estés usando.
Procedimiento
Consola
- En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
- Selecciona el proyecto habilitado para acceder a AlloyDB.
- Selecciona un principal (usuario o cuenta de servicio) para concederle acceso:
- Para conceder un rol a un principal que ya tiene otros roles en el proyecto, busca la fila que contiene la dirección de correo del principal, haz clic en Editar principal en esa fila y, a continuación, en Añadir otro rol.
- Para asignar un rol a un principal que aún no tenga otros roles en el proyecto, haz clic en Añadir y, a continuación, introduce la dirección de correo del principal.
- En la lista desplegable, selecciona uno de estos roles:
- Administrador de AlloyDB en Cloud
- Lector de AlloyDB de Cloud
- Cliente de AlloyDB en la nube y Consumidor de uso de servicios
- Usuario de base de datos de AlloyDB en Cloud
- Haz clic en Guardar. Se asigna el rol a la cuenta principal.
gcloud
Para usar la CLI de gcloud, puedes instalar e inicializar Google Cloud CLI o usar Cloud Shell.
Usa el comando add-iam-policy-binding para asignar un rol predefinido de AlloyDB a una entidad de gestión de identidades y accesos (cuenta de usuario o cuenta de servicio).
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=PRINCIPAL \
--role=ALLOYDB_ROLE
PROJECT_ID: el ID del proyecto habilitado para acceder a AlloyDB.PRINCIPAL: el tipo y el ID de correo (dirección de correo electrónico) del principal:- En el caso de las cuentas de usuario:
user:EMAIL_ID - En el caso de las cuentas de servicio:
serviceAccount:EMAIL_ID
- En el caso de las cuentas de usuario:
ALLOYDB_ROLE: el rol que quieres asignar a la cuenta principal. El valor debe ser uno de los siguientes:roles/alloydb.adminroles/alloydb.viewerroles/alloydb.clientyroles/serviceusage.serviceUsageConsumerroles/alloydb.databaseUser
Para obtener más información sobre los permisos que conceden estos roles, consulta Roles de gestión de identidades y accesos predefinidos de AlloyDB.