Concedere l'accesso ad altri utenti

Questa pagina descrive come concedere a un account utente o servizio Google Cloud l'accesso alle risorse AlloyDB in un progetto.

A seconda dell'ambito di controllo che vuoi che l'account abbia, devi concedergli uno di questi ruoli IAM predefiniti:

  • roles/alloydb.admin (Cloud AlloyDB Admin) per concedere il controllo completo su tutte le risorse AlloyDB
  • roles/alloydb.client (client Cloud AlloyDB) e roles/serviceusage.serviceUsageConsumer (consumatore di utilizzo del servizio) per concedere accesso alla connettività alle istanze AlloyDB da parte dei client che si connettono con il proxy di autenticazione AlloyDB
  • roles/alloydb.databaseUser (utente del database Cloud AlloyDB) per concedere l'autenticazione utente del database alle istanze AlloyDB
  • roles/alloydb.viewer (Cloud AlloyDB Viewer) per concedere l'accesso in sola lettura a tutte le risorse AlloyDB

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, consulta Ruoli IAM predefiniti di AlloyDB.

Prima di iniziare

  • Il progetto Google Cloud che utilizzi deve essere stato abilitato per accedere ad AlloyDB.
  • Devi disporre del ruolo IAM di base roles/owner (Proprietario) nel progetto Google Cloud che stai utilizzando o di un ruolo che conceda le seguenti autorizzazioni:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Per ottenere queste autorizzazioni rispettando il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo roles/resourcemanager.projectIamAdmin (Amministratore IAM progetto).

  • Abilita l'API Cloud Resource Manager nel progetto Google Cloud che stai utilizzando.

    Attiva l'API

Procedura

Console

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Seleziona il progetto abilitato per accedere ad AlloyDB.
  3. Seleziona un'entità (utente o account di servizio) a cui concedere l'accesso a:
    • Per concedere un ruolo a un'entità che ha già altri ruoli nel progetto, individua la riga contenente l'indirizzo email dell'entità, fai clic su Modifica entità in quella riga e poi su Aggiungi un altro ruolo.
    • Per concedere un ruolo a un'entità che non ha già altri ruoli nel progetto, fai clic su Aggiungi, quindi inserisci l'indirizzo email dell'entità.
  4. Nell'elenco a discesa, seleziona uno di questi ruoli:
    • Cloud AlloyDB Admin
    • Cloud AlloyDB Viewer
    • Cloud AlloyDB Client e Service Usage Consumer
    • Utente del database Cloud AlloyDB
  5. Fai clic su Salva. All'entità viene concesso il ruolo.

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure utilizzare Cloud Shell.

Utilizza il comando add-iam-policy-binding per concedere un ruolo predefinito AlloyDB a un'entità IAM (account utente o account di servizio).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: l'ID del progetto abilitato ad accedere ad AlloyDB.
  • PRINCIPAL: il tipo e l'ID email (indirizzo email) del principale:
    • Per gli account utente: user:EMAIL_ID
    • Per gli account di servizio: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: il ruolo che vuoi concedere all'entità. Il valore deve essere uno dei seguenti:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client e roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Per informazioni dettagliate sulle autorizzazioni concesse da questi ruoli, consulta Ruoli IAM predefiniti di AlloyDB.