Accorder l'accès à d'autres utilisateurs

Cette page explique comment accorder à un compte d'utilisateur ou de service l'accès à toutes les ressources AlloyDB d'un projet. Google Cloud

En fonction du niveau de contrôle que vous souhaitez accorder au compte, attribuez-lui l'un des rôles IAM prédéfinis suivants :

  • roles/alloydb.admin (Administrateur Cloud AlloyDB) pour accorder un contrôle total sur toutes les ressources AlloyDB
  • roles/alloydb.client (client Cloud AlloyDB) et roles/serviceusage.serviceUsageConsumer (consommateur d'utilisation du service) pour accorder un accès à la connectivité aux instances AlloyDB à partir des clients se connectant avec le proxy d'authentification AlloyDB
  • roles/alloydb.databaseUser (Utilisateur de base de données Cloud AlloyDB) pour accorder l'authentification des utilisateurs de base de données aux instances AlloyDB
  • roles/alloydb.viewer (Lecteur Cloud AlloyDB) pour accorder un accès en lecture seule à toutes les ressources AlloyDB

Pour en savoir plus sur les autorisations IAM spécifiques fournies par ces rôles, consultez Rôles IAM AlloyDB prédéfinis.

Avant de commencer

  • Le projet Google Cloud que vous utilisez doit avoir été activé pour accéder à AlloyDB.
  • Vous devez disposer du rôle IAM de base roles/owner (Propriétaire) dans le projet Google Cloud que vous utilisez, ou d'un rôle qui vous accorde les autorisations suivantes :
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Pour obtenir ces autorisations tout en respectant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle roles/resourcemanager.projectIamAdmin (Administrateur IAM du projet).

  • Activez l'API Cloud Resource Manager dans le projet Google Cloud que vous utilisez.

    Activer l'API

Procédure

Console

  1. Dans la console Google Cloud , accédez à la page IAM.

    Accéder à IAM

  2. Sélectionnez le projet activé pour accéder à AlloyDB.
  3. Sélectionnez un compte principal (utilisateur ou compte de service) auquel accorder l'accès :
    • Pour attribuer un rôle à un compte principal qui dispose déjà d'autres rôles sur le projet, recherchez la ligne contenant l'adresse e-mail du compte principal, cliquez sur Modifier le compte principal sur cette ligne, puis sur Ajouter un autre rôle.
    • Pour attribuer un rôle à un compte principal qui ne dispose pas déjà d'autres rôles sur le projet, cliquez sur Ajouter, puis saisissez l'adresse e-mail du compte principal.
  4. Dans la liste déroulante, sélectionnez l'un des rôles suivants :
    • Administrateur Cloud AlloyDB
    • Lecteur Cloud AlloyDB
    • Client Cloud AlloyDB et Consommateur d'utilisation du service
    • Utilisateur de base de données Cloud AlloyDB
  5. Cliquez sur Enregistrer. Le rôle est attribué au compte principal.

gcloud

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI, ou utiliser Cloud Shell.

Utilisez la commande add-iam-policy-binding pour attribuer un rôle prédéfini AlloyDB à un compte principal IAM (compte utilisateur ou compte de service).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID : ID du projet autorisé à accéder à AlloyDB.
  • PRINCIPAL : type et adresse e-mail du compte principal :
    • Pour les comptes utilisateur : user:EMAIL_ID
    • Pour les comptes de service : serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE : rôle que vous souhaitez attribuer au compte principal. La valeur doit correspondre à l'un des éléments suivants :

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client et roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Pour en savoir plus sur les autorisations accordées par ces rôles, consultez Rôles IAM AlloyDB prédéfinis.