Conceder acesso a outros usuários

Esta página descreve como conceder a uma conta de usuário ou de serviço do Google Cloud acesso aos recursos do AlloyDB em um projeto.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/alloydb.admin (administrador do Cloud AlloyDB) para conceder controle total de todos os recursos do AlloyDB
  • roles/alloydb.client (cliente do Cloud AlloyDB) e roles/serviceusage.serviceUsageConsumer (consumidor de uso de serviço) para conceder acesso de conectividade a instâncias do AlloyDB de clientes que se conectam com o proxy de autenticação do AlloyDB.
  • roles/alloydb.databaseUser (usuário do banco de dados do Cloud AlloyDB) para conceder a autenticação do usuário do banco de dados às instâncias do AlloyDB.
  • roles/alloydb.viewer (Leitor do Cloud AlloyDB) para conceder acesso somente leitura a todos os recursos do AlloyDB.

Para informações detalhadas sobre as permissões específicas do IAM que esses papéis oferecem, consulte Papéis predefinidos do IAM do AlloyDB.

Antes de começar

  • O projeto do Google Cloud que você está usando precisa ter sido ativado para acessar o AlloyDB.
  • Você precisa ter o papel básico do IAM roles/owner (proprietário) no projeto do Google Cloud que você está usando ou um papel que conceda estas permissões:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador para conceder a você o papel roles/resourcemanager.projectIamAdmin (Administrador do IAM do projeto).

  • Ative a API Cloud Resource Manager no projeto do Google Cloud que você está usando.

    Ativar a API

Procedimento

Console

  1. No console do Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Selecione o projeto ativado para acessar o AlloyDB.
  3. Selecione um principal (usuário ou conta de serviço) para conceder acesso a:
    • Para conceder um papel a um principal que já tenha outros papéis no projeto, encontre a linha que contém o endereço de e-mail do principal, clique em Editar principal nessa linha e clique em Adicionar outro papel.
    • Para conceder um papel a um principal que ainda não tem outros papéis no projeto, clique em Adicionar e insira o endereço de e-mail do principal.
  4. Na lista suspensa, selecione uma destas funções:
    • Administrador do Cloud AlloyDB
    • Leitor do Cloud AlloyDB
    • Cliente do Cloud AlloyDB e consumidor de uso de serviço
    • Usuário do banco de dados do Cloud AlloyDB
  5. Clique em Salvar. O principal recebe o papel.

gcloud

Para usar a CLI gcloud, você pode instalar e inicializar a Google Cloud CLI ou usar o Cloud Shell.

Use o comando add-iam-policy-binding para conceder um papel predefinido do AlloyDB a um principal do IAM (conta de usuário ou conta de serviço).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: o ID do projeto ativado para acessar o AlloyDB.
  • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal:
    • Para contas de usuário: user:EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: o papel que você quer conceder ao principal. O valor precisa ser um dos indicados abaixo:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client e roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para saber mais sobre as permissões que esses papéis concedem, consulte Papéis predefinidos do IAM do AlloyDB.