Otorga acceso a otros usuarios

En esta página, se describe cómo otorgar acceso a los recursos de AlloyDB en un proyecto a una cuenta de usuario o de servicio de Google Cloud .

Según el alcance de control que quieras que tenga la cuenta, puedes otorgarle uno de estos roles de IAM predefinidos:

  • roles/alloydb.admin (administrador de Cloud AlloyDB) para otorgar control total sobre todos los recursos de AlloyDB
  • roles/alloydb.client (cliente de Cloud AlloyDB) y roles/serviceusage.serviceUsageConsumer (consumidor de uso del servicio) para otorgar acceso de conectividad a instancias de AlloyDB desde clientes que se conectan con el proxy de autenticación de AlloyDB
  • roles/alloydb.databaseUser (usuario de la base de datos de Cloud AlloyDB) para otorgar autenticación de usuario de la base de datos a las instancias de AlloyDB
  • roles/alloydb.viewer (Visualizador de Cloud AlloyDB) para otorgar acceso de solo lectura a todos los recursos de AlloyDB

Para obtener información detallada sobre los permisos de IAM específicos que proporcionan estos roles, consulta Roles de IAM predefinidos de AlloyDB.

Antes de comenzar

  • El proyecto de Google Cloud que usas debe estar habilitado para acceder a AlloyDB.
  • Debes tener el rol de IAM básico roles/owner (propietario) en el proyecto de Google Cloud que usas, o un rol que otorgue estos permisos:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para obtener estos permisos y seguir el principio de privilegio mínimo, pídele a tu administrador que te otorgue el rol roles/resourcemanager.projectIamAdmin (administrador de IAM del proyecto).

  • Habilita la API de Cloud Resource Manager en el proyecto de Google Cloud que usas.

    Habilita la API

Procedimiento

Console

  1. En la consola de Google Cloud , ve a la página IAM.

    Ir a IAM

  2. Selecciona el proyecto habilitado para acceder a AlloyDB.
  3. Selecciona un principal (usuario o cuenta de servicio) para otorgar acceso a lo siguiente:
    • Para otorgar un rol a una principal que ya tenga otros roles en el proyecto, busca la fila que contiene la dirección de correo electrónico de la principal, haz clic en Editar principal en esa fila y, luego, en Agregar otro rol.
    • Para otorgar un rol a una principal que aún no tenga otros roles en el proyecto, haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de la principal.
  4. En la lista desplegable, selecciona uno de estos roles:
    • Administrador de Cloud AlloyDB
    • Visualizador de Cloud AlloyDB
    • Cliente de Cloud AlloyDB y Consumidor de uso del servicio
    • Usuario de la base de datos de Cloud AlloyDB
  5. Haz clic en Guardar. Se le otorga el rol al principal.

gcloud

Para usar gcloud CLI, puedes instalar y, luego, inicializar Google Cloud CLI, o bien usar Cloud Shell.

Usa el comando add-iam-policy-binding para otorgar un rol predefinido de AlloyDB a un principal de IAM (cuenta de usuario o de servicio).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: Es el ID del proyecto habilitado para acceder a AlloyDB.
  • PRINCIPAL: El tipo y el ID de correo electrónico (dirección de correo electrónico) del principal:
    • Para cuentas de usuario: user:EMAIL_ID
    • Para cuentas de servicio: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: El rol que deseas otorgar al principal. El valor debe ser uno de los siguientes:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client y roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para obtener más información sobre los permisos que otorgan estos roles, consulta Roles predefinidos de IAM de AlloyDB.