Cette page a été traduite par l'API Cloud Translation.

Accorder l'accès à d'autres utilisateurs

Cette page explique comment accorder à un compte utilisateur ou de service Google Cloud l'accès aux ressources AlloyDB d'un projet.

En fonction du niveau de contrôle que vous souhaitez accorder au compte, vous lui attribuez l'un des rôles IAM prédéfinis suivants:

roles/alloydb.admin (administrateur Cloud AlloyDB) pour accorder un contrôle total sur toutes les ressources AlloyDB
roles/alloydb.client (client Cloud AlloyDB) et roles/serviceusage.serviceUsageConsumer (consommateur d'utilisation du service) pour accorder un accès connecté aux instances AlloyDB à partir de clients se connectant au proxy d'authentification AlloyDB
roles/alloydb.databaseUser (Utilisateur de base de données Cloud AlloyDB) pour accorder l'authentification de l'utilisateur de la base de données aux instances AlloyDB
roles/alloydb.viewer (Lecteur Cloud AlloyDB) pour accorder un accès en lecture seule à toutes les ressources AlloyDB

Pour en savoir plus sur les autorisations IAM spécifiques de ces rôles, consultez la section Rôles IAM AlloyDB prédéfinis.

Avant de commencer

Le projet Google Cloud que vous utilisez doit avoir été autorisé à accéder à AlloyDB.
Vous devez disposer du rôle IAM de base roles/owner (Propriétaire) dans le projet Google Cloud que vous utilisez, ou d'un rôle qui accorde les autorisations suivantes :
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
Pour obtenir ces autorisations tout en respectant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle roles/resourcemanager.projectIamAdmin (administrateur IAM du projet).
Activez l'API Cloud Resource Manager dans le projet Google Cloud que vous utilisez.

Activer l'API

Dans la console Google Cloud , accédez à la page IAM.
Accéder à IAM
Sélectionnez le projet autorisé à accéder à AlloyDB.
Sélectionnez un principal (utilisateur ou compte de service) pour accorder l'accès aux éléments suivants :
- Pour attribuer un rôle à un compte principal disposant déjà d'autres rôles sur le projet, recherchez la ligne contenant l'adresse e-mail du compte principal, puis cliquez sur Modifier le compte principal sur cette ligne, puis sur Ajouter un rôle.
- Pour attribuer un rôle à un compte principal qui ne dispose pas déjà d'autres rôles sur le projet, cliquez sur Ajouter, puis saisissez l'adresse e-mail du compte principal.
Dans la liste déroulante, sélectionnez l'un des rôles suivants :
- Administrateur Cloud AlloyDB
- Lecteur Cloud AlloyDB
- Client Cloud AlloyDB et Consommateur d'utilisation du service
- Utilisateur de base de données Cloud AlloyDB
Cliquez sur Enregistrer. Le rôle est attribué au compte principal.

Pour utiliser gcloud CLI, vous pouvez installer et initialiser Google Cloud CLI ou utiliser Cloud Shell.

Utilisez la commande add-iam-policy-binding pour accorder un rôle prédéfini AlloyDB à un principal IAM (compte utilisateur ou compte de service).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE

PROJECT_ID: ID du projet autorisé à accéder à AlloyDB.
PRINCIPAL: type et ID de messagerie (adresse e-mail) du principal :
- Pour les comptes utilisateur: user:EMAIL_ID
- Pour les comptes de service: serviceAccount:EMAIL_ID
ALLOYDB_ROLE: rôle que vous souhaitez attribuer au compte principal. La valeur doit correspondre à l'un des éléments suivants :
- roles/alloydb.admin
- roles/alloydb.viewer
- roles/alloydb.client et roles/serviceusage.serviceUsageConsumer
- roles/alloydb.databaseUser
Pour en savoir plus sur les autorisations attribuées par ces rôles, consultez la section Rôles IAM AlloyDB prédéfinis.