Gestisci gli utenti con l'autenticazione IAM dei database

Questa pagina descrive come aggiungere e gestire utenti, service account e gruppi in un'istanza Cloud SQL che utilizza l'autenticazione IAM dei database.

Per ulteriori informazioni sull'integrazione di IAM, consulta Autenticazione IAM.

Prima di iniziare

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  10. Assicurati di disporre del ruolo Amministratore Cloud SQL per il tuo account utente.

    Vai alla pagina IAM

  11. Abilita l'autenticazione IAM dei database nell'istanza Cloud SQL.
  12. Assegna il ruolo IAM cloudsql.instanceUser necessario alle entità IAM, ad esempio utenti IAM, account di servizio o gruppi per accedere all'istanza Cloud SQL.
  13. Se utilizzi un account di servizio, assicurati di aver aggiunto account di servizio per ogni servizio che richiede l'accesso ai database nel progetto.
  14. Per ulteriori informazioni sulla creazione di account di servizio, consulta Creare account di servizio.

Aggiungere un'associazione di criteri IAM a un utente, un account di servizio o un gruppo

Questa procedura aggiunge un'associazione di criteri al criterio IAM di un progetto specifico, a partire da un ID progetto e dall'associazione. Il comando di associazione è costituito da un membro, un ruolo e una condizione facoltativa.

Il nome utente del database deve essere l'indirizzo email dell'utente IAM, per esempio example-user@example.com. Deve essere tutto minuscolo e utilizzare le virgolette perché contiene caratteri speciali (@ e .).

Console

  1. Nella console Google Cloud, vai alla pagina IAM.

    Vai a IAM

  2. Fai clic su Aggiungi.
  3. In Nuovi membri, inserisci un indirizzo email. Puoi aggiungere singoli utenti, account di servizio o gruppi come membri, ma ogni progetto deve avere almeno un'entità come membro.
  4. In Ruolo, vai a Cloud SQL e Seleziona Utente istanza Cloud SQL.
  5. (Facoltativo) Se vuoi connetterti utilizzando il proxy di autenticazione Cloud SQL o i connettori dei linguaggi Cloud SQL, seleziona anche Client Cloud SQL.
  6. Fai clic su Salva.

gcloud

Corsa gcloud projects add-iam-policy-binding con il flag --role=roles/cloudsql.instanceUser.

Aggiungere un'associazione di criteri a un account utente

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per cui vuoi autorizzare l'utente a eseguire l'accesso.
  • USERNAME: l'indirizzo email dell'utente.
  gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:USERNAME \
    --role=roles/cloudsql.instanceUser
  

Se vuoi connetterti utilizzando il proxy di autenticazione Cloud SQL o i connettori di linguaggio Cloud SQL, quindi esegui gcloud projects add-iam-policy-binding di nuovo con il flag --role=roles/cloudsql.client.

Aggiungere un'associazione di criteri a un account di servizio

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per il quale vuoi autorizzare da utilizzare.
  • SERVICE_ACCT: l'indirizzo email dell'account di servizio.
  gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=serviceAccount:SERVICE_ACCT \
    --role=roles/cloudsql.instanceUser
  

Se vuoi connetterti utilizzando il proxy di autenticazione Cloud SQL o i connettori di linguaggio Cloud SQL, quindi esegui gcloud projects add-iam-policy-binding di nuovo con il flag --role=roles/cloudsql.client.

Aggiungere un'associazione di criteri a un gruppo Cloud Identity

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto di cui vuoi autorizzare l'utilizzo da parte dei membri del gruppo.
  • GROUP_EMAIL_ADDRESS: l'indirizzo email del gruppo. Ad esempio example-group@example.com.
  gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=group:GROUP_EMAIL_ADDRESS \
    --role=roles/cloudsql.instanceUser
   

A tutti i membri del gruppo specificato viene concesso il ruolo Utente istanza Cloud SQL e possono accedere alle istanze di questo progetto.

Se vuoi connetterti utilizzando il proxy di autenticazione Cloud SQL o i connettori dei linguaggi Cloud SQL, esegui nuovamente gcloud projects add-iam-policy-binding con il flag --role=roles/cloudsql.client.

Terraform

Aggiungere l'associazione di criteri richiesta all'utente IAM utilizzare una risorsa Terraform.

data "google_project" "project" {
}

resource "google_project_iam_binding" "cloud_sql_user" {
  project = data.google_project.project.project_id
  role    = "roles/cloudsql.instanceUser"
  members = [
    "user:test-user@example.com",
    "serviceAccount:${google_service_account.default.email}"
  ]
}

resource "google_project_iam_binding" "cloud_sql_client" {
  project = data.google_project.project.project_id
  role    = "roles/cloudsql.client"
  members = [
    "user:test-user@example.com",
    "serviceAccount:${google_service_account.default.email}"
  ]
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo file al suo interno. Il nome file deve contenere .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice di esempio in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade :

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o aggiornare corrispondano alle tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta:
    terraform apply

    Attendi finché Terraform non visualizzi il messaggio "Applicazione completata!". per creare un nuovo messaggio email.

  3. Apri il tuo progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

Terraform

Aggiungere l'associazione di criteri richiesta all'utente IAM utilizzare una risorsa Terraform.

data "google_project" "project" {
}

resource "google_project_iam_binding" "cloud_sql_user" {
  project = data.google_project.project.project_id
  role    = "roles/cloudsql.instanceUser"
  members = [
    "group:example-group@example.com"
  ]
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito dove vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione Terraform deve avere una directory dedicata (inoltre chiamato modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome file deve contenere .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice di esempio in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade :

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o aggiornare corrispondano alle tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta:
    terraform apply

    Attendi finché Terraform non visualizzi il messaggio "Applicazione completata!". per creare un nuovo messaggio email.

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

REST

Concedi i cloudsql.instanceUser e le cloudsql.client a entrambi i tipi di account modificando il criterio di associazione JSON o YAML restituito dal comando get-iam-policy. Tieni presente che queste norme modifica non avrà effetto finché non imposti il criterio aggiornato.

    {
      "role": "roles/cloudsql.instanceUser",
      "members": [
                   "user:example-user@example.com"
                   "serviceAccount:service1@sql.iam.gserviceaccount.com"
                   "group:example-group@example.com"
      ]
    }
    {
      "role": "roles/cloudsql.client",
      "members": [
                   "user:example-user@example.com"
                   "serviceAccount:service1@sql.iam.gserviceaccount.com"
      ]
    }

Aggiungere un singolo account utente o di servizio IAM a un'istanza Cloud SQL

Devi creare un nuovo account utente per ogni singolo utente IAM o l'account di servizio che stai aggiungendo all'istanza Cloud SQL per per accedere ai database. Se aggiungi un gruppo IAM, non devi creare un account utente per ogni membro del gruppo.

Il nome utente del database deve essere l'indirizzo email dell'utente IAM e deve essere tutto in minuscolo. Ad esempio, example-user@example.com.

Quando utilizzi i comandi REST, il nome utente deve essere tra virgolette perché contiene caratteri speciali (@ e .). Gli account di servizio utilizzano il formatoservice-account-name@project-id.iam.gserviceaccount.com.

Per aggiungere un singolo account utente o di servizio IAM, devi aggiungere un nuovo account utente e seleziona IAM come metodo di autenticazione:

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Utenti dal menu di navigazione SQL.
  4. Fai clic su Aggiungi account utente. Viene visualizzata la scheda Aggiungi un account utente all'istanza instance_name.
  5. Fai clic sul pulsante di opzione Cloud IAM.
  6. Aggiungi l'indirizzo email dell'utente o dell'account di servizio che vuoi aggiungere nel campo entità.
  7. Fai clic su Aggiungi. L'account utente o di servizio si trova ora nella cartella dall'elenco di account.
  8. Se all'utente non è stato assegnato il ruolo IAM cloudsql.instanceUser dopo la creazione dell'account utente, accanto al nome utente viene visualizzata un'icona triangolo.

    Per concedere le autorizzazioni di accesso all'utente, fai clic su e seleziona Aggiungi ruolo IAM. Se l'icona non viene più visualizzata, all'account utente viene assegnato il ruolo IAM che conferisce l'autorizzazione di accesso.

gcloud

Creare un account utente

Utilizza l'indirizzo email, ad esempio example-user@example.com, per identificare l'utente.

Sostituisci quanto segue:

  • USERNAME: l'indirizzo email dell'utente.
  • INSTANCE_NAME: il nome dell'istanza che vuoi autorizzare a cui l'utente può accedere.
gcloud sql users create USERNAME \
--instance=INSTANCE_NAME \
--type=cloud_iam_user

Creare un account di servizio

Sostituisci quanto segue:

  • SERVICE_ACCT: l'indirizzo email dell'account di servizio.
  • INSTANCE_NAME: il nome dell'istanza a cui vuoi autorizzare l'accesso dell'account di servizio.
gcloud sql users create SERVICE_ACCT \
--instance=INSTANCE_NAME \
--type=cloud_iam_service_account

Terraform

Per aggiungere account utente e di servizio IAM su un'istanza con Autenticazione del database IAM abilitata, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "default" {
  name             = "mysql-db-auth-instance-name-test"
  region           = "us-west4"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    database_flags {
      name  = "cloudsql_iam_authentication"
      value = "on"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally
  # delete this instance by use of Terraform whereas
  # `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

# Specify the email address of the IAM user to add to the instance
# This resource does not create a new IAM user account; this account must
# already exist

resource "google_sql_user" "iam_user" {
  name     = "test-user@example.com"
  instance = google_sql_database_instance.default.name
  type     = "CLOUD_IAM_USER"
}

# Create a new IAM service account

resource "google_service_account" "default" {
  account_id   = "cloud-sql-mysql-sa"
  display_name = "Cloud SQL for MySQL Service Account"
}

# Specify the email address of the IAM service account to add to the instance

resource "google_sql_user" "iam_service_account_user" {
  name     = google_service_account.default.email
  instance = google_sql_database_instance.default.name
  type     = "CLOUD_IAM_SERVICE_ACCOUNT"
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione Terraform deve avere una directory dedicata (inoltre chiamato modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome file deve contenere .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice di esempio in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade :

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o aggiornare corrispondano alle tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta:
    terraform apply

    Attendi che Terraform mostri il messaggio "Applicazione completata".

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nell'interfaccia utente per assicurarti che Terraform le abbia create o aggiornate.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

REST v1

Creare un account utente

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID dell'istanza a cui stai aggiungendo l'utente
  • USERNAME: l'indirizzo email dell'utente

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
  "name": "USERNAME",
  "type": "CLOUD_IAM_USER"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:44:16.656Z",
  "startTime": "2020-02-07T22:44:16.686Z",
  "endTime": "2020-02-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Creare un account di servizio

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • SERVICE_ACCT: l'indirizzo email dell'account di servizio
  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID istanza per l'istanza a cui stai aggiungendo l'account di servizio

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
    "name": "SERVICE_ACCT",
    "type": "CLOUD_IAM_SERVICE_ACCOUNT"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
"kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-11-20T04:08:00.211Z",
  "startTime": "2020-11-20T04:08:00.240Z",
  "endTime": "2020-11-20T04:08:02.003Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

Creare un account utente

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID dell'istanza a cui stai aggiungendo l'utente
  • USERNAME: l'indirizzo email dell'utente

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
  "name": "USERNAME",
  "type": "CLOUD_IAM_USER"
  }

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:44:16.656Z",
  "startTime": "2020-02-07T22:44:16.686Z",
  "endTime": "2020-02-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Creare un account di servizio

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • SERVICE_ACCT: l'indirizzo email dell'account di servizio
  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID istanza per l'istanza a cui stai aggiungendo l'account di servizio

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
    "name": "SERVICE_ACCT",
    "type": "CLOUD_IAM_SERVICE_ACCOUNT"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
"kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-11-20T04:08:00.211Z",
  "startTime": "2020-11-20T04:08:00.240Z",
  "endTime": "2020-11-20T04:08:02.003Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Aggiungi un gruppo IAM a un'istanza Cloud SQL

Per utilizzare l'autenticazione dei gruppi IAM e aggiungere un gruppo IAM a un'istanza Cloud SQL, utilizza una delle procedure descritte in questa sezione. Dopo aver aggiunto il gruppo IAM, devi aggiungere i singoli membri del gruppo all'istanza. Per maggiori informazioni, consulta Aggiungere automaticamente i membri di un gruppo a un'istanza Cloud SQL.

Console

  1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

    Vai a Istanze Cloud SQL

  2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
  3. Seleziona Users (Utenti) dal menu di navigazione SQL.
  4. Fai clic su Aggiungi account utente. Viene visualizzata la scheda Aggiungi un account utente all'istanza instance_name.
  5. Fai clic sul pulsante di opzione Cloud IAM.
  6. Aggiungi l'indirizzo email del gruppo da aggiungere nel Principale.
  7. Fai clic su Aggiungi. Il gruppo è ora nell'elenco utenti.
  8. Se al gruppo non è stato assegnato il ruolo IAM cloudsql.instanceUser dopo la creazione dell'account utente, accanto al gruppo viene visualizzata un'icona triangolo.

    Per concedere le autorizzazioni di accesso ai membri del gruppo, fai clic su e seleziona Aggiungi ruolo IAM. Se l'icona non viene più visualizzata, significa che a tutti i membri del gruppo è stato assegnato il ruolo che concede l'autorizzazione di accesso.

gcloud

Sostituisci quanto segue:

  • GROUP_EMAIL_ADDRESS: l'indirizzo email del Gruppo Cloud Identity che vuoi aggiungere all'istanza. Ad esempio, gruppo-di-esempio@example.com.
  • INSTANCE_NAME: il nome dell'istanza in cui vuoi aggiungere il gruppo.

Esegui questo comando:

gcloud sql users create GROUP_EMAIL_ADDRESS \
  --instance=INSTANCE_NAME \
  --type=cloud_iam_group

Terraform

Per aggiungere account utente e di servizio IAM a un'istanza con l'autenticazione IAM dei database abilitata, utilizza una risorsa Terraform.

resource "google_sql_database_instance" "default" {
  name             = "mysql-iam-group-auth-instance-name"
  region           = "us-west4"
  database_version = "MYSQL_8_0"
  settings {
    tier = "db-f1-micro"
    database_flags {
      name  = "cloudsql_iam_authentication"
      value = "on"
    }
  }
  # set `deletion_protection` to true, will ensure that one cannot accidentally
  # delete this instance by use of Terraform whereas
  # `deletion_protection_enabled` flag protects this instance at the GCP level.
  deletion_protection = false
}

# Specify the email address of the Cloud Identity group to add to the instance
# This resource does not create a Cloud Identity group; the group must
# already exist

resource "google_sql_user" "iam_group" {
  name     = "example-group@example.com"
  instance = google_sql_database_instance.default.name
  type     = "CLOUD_IAM_GROUP"
}

data "google_project" "project" {
}

resource "google_project_iam_binding" "cloud_sql_user" {
  project = data.google_project.project.project_id
  role    = "roles/cloudsql.instanceUser"
  members = [
    "group:example-group@example.com"
  ]
}

Applica le modifiche

Per applicare la configurazione Terraform in un progetto Google Cloud, completa i passaggi nelle seguenti sezioni.

Prepara Cloud Shell

  1. Avvia Cloud Shell.
  2. Imposta il progetto Google Cloud predefinito in cui vuoi applicare le configurazioni Terraform.

    Devi eseguire questo comando una sola volta per progetto e puoi farlo in qualsiasi directory.

    export GOOGLE_CLOUD_PROJECT=PROJECT_ID

    Le variabili di ambiente vengono sostituite se imposti valori espliciti nel file di configurazione di Terraform.

Prepara la directory

Ogni file di configurazione di Terraform deve avere una propria directory (chiamata anche modulo principale).

  1. In Cloud Shell, crea una directory e un nuovo all'interno di quella directory. Il nome file deve avere l'estensione .tf, ad esempio main.tf. In questo tutorial, il file è denominato main.tf.
    mkdir DIRECTORY && cd DIRECTORY && touch main.tf
  2. Se stai seguendo un tutorial, puoi copiare il codice di esempio in ogni sezione o passaggio.

    Copia il codice campione nel nuovo oggetto main.tf.

    Se vuoi, copia il codice da GitHub. Questa opzione è consigliata quando lo snippet Terraform fa parte di una soluzione end-to-end.

  3. Esamina e modifica i parametri di esempio da applicare al tuo ambiente.
  4. Salva le modifiche.
  5. Inizializza Terraform. Devi eseguire questa operazione una sola volta per directory.
    terraform init

    Facoltativamente, per utilizzare la versione più recente del provider Google, includi -upgrade :

    terraform init -upgrade

Applica le modifiche

  1. Rivedi la configurazione e verifica che le risorse che Terraform sta per creare o aggiornare corrispondano alle tue aspettative:
    terraform plan

    Apporta le correzioni necessarie alla configurazione.

  2. Applica la configurazione Terraform eseguendo questo comando e inserendo yes alla richiesta:
    terraform apply

    Attendi che Terraform mostri il messaggio "Applicazione completata".

  3. Apri il progetto Google Cloud per visualizzare i risultati. Nella console Google Cloud, vai alle risorse nella UI per assicurarti create o aggiornate da Terraform.

Elimina le modifiche

Per eliminare le modifiche:

  1. Per disabilitare la protezione dall'eliminazione, imposta il file di configurazione Terraform Argomento deletion_protection per false.
    deletion_protection =  "false"
  2. Applica la configurazione Terraform aggiornata eseguendo il seguente comando e inserendo yes al prompt:
    terraform apply
  1. Rimuovi le risorse applicate in precedenza con la configurazione Terraform eseguendo il seguente comando e inserendo yes al prompt:

    terraform destroy

REST v1

Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID istanza dell'istanza a cui aggiungi il gruppo Cloud Identity
  • GROUP_EMAIL: l'indirizzo email del gruppo Cloud Identity

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
  "name": "GROUP_EMAIL",
  "type": "CLOUD_IAM_GROUP"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "example-group@example.com",
  "insertTime": "2023-12-07T22:44:16.656Z",
  "startTime": "2023-12-07T22:44:16.686Z",
  "endTime": "2023-12-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • PROJECT_ID: l'ID progetto
  • INSTANCE_ID: l'ID istanza dell'istanza a cui aggiungi il gruppo Cloud Identity
  • GROUP_EMAIL: l'indirizzo email del gruppo Cloud Identity

Metodo HTTP e URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

Corpo JSON della richiesta:

{
  "name": "GROUP_EMAIL",
  "type": "CLOUD_IAM_GROUP"
}

Per inviare la richiesta, espandi una di queste opzioni:

Dovresti ricevere una risposta JSON simile alla seguente:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "example-group@example.com",
  "insertTime": "2023-12-07T22:44:16.656Z",
  "startTime": "2023-12-07T22:44:16.686Z",
  "endTime": "2023-12-07T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

Aggiungere automaticamente i membri di un gruppo a un'istanza Cloud SQL

Quando aggiungi un gruppo IAM a un'istanza Cloud SQL, tutti i membri (utenti e account di servizio) di quel gruppo ereditano le autorizzazioni IAM per l'autenticazione nell'istanza. Non è necessario aggiungere il membro del gruppo singolarmente all'istanza Cloud SQL. Dopo che un membro del gruppo ha eseguito l'accesso e si è autenticato correttamente nell'istanza per la prima volta, Cloud SQL crea un account utente di gruppo o un account di servizio di gruppo per quel membro del gruppo. Puoi visualizzare il membro del gruppo elencato nell'istanza dopo il primo accesso riuscito.

Per ulteriori informazioni sull'accesso, consulta Accedere con l'autenticazione del database IAM.

Gestisci i membri del gruppo su un'istanza Cloud SQL

Quando aggiungi un gruppo IAM a un'istanza Cloud SQL, tutti i membri (account utente o di servizio) di quel gruppo ereditano l'autorizzazione IAM per l'autenticazione all'istanza. Puoi controllare l'accesso a un'istanza gestendo il gruppo in Cloud Identity. Ad esempio, se vuoi assegnare a un nuovo utente l'accesso a un'istanza, aggiungilo come membro di un gruppo in Cloud Identity. Non è necessario rimuovere o aggiungere i membri del gruppo separatamente a livello di istanza Cloud SQL perché le modifiche all'appartenenza al gruppo vengono propagate automaticamente all'istanza Cloud SQL. Modifiche alle iscrizioni ai gruppi, come l'aggiunta o la rimozione di un membro, richiedono 15 minuti per la propagazione. Questo in aggiunta al tempo necessario per Modifiche IAM.

La concessione o la revoca dei privilegi di database per un gruppo IAM in MySQL ha effetto immediato. Ad esempio, se revochi l'accesso a una tabella, i membri del gruppo IAM perdono immediatamente l'accesso a quella tabella.

È possibile che un account utente o di servizio sia membro di più gruppi IAM. Se un account utente o di servizio appartiene a più gruppi IAM su un'istanza, avranno tutte le Autorizzazioni IAM e privilegi di database combinati da ciascuno di questi gruppi IAM.

Quando aggiungi un nuovo membro (account utente o di servizio) alla piattaforma IAM gruppo in Cloud Identity e accedono correttamente all'istanza per la prima volta, ereditano i privilegi di database concessi automaticamente. Per utilizzare i privilegi di database appena acquisiti nella stessa sessione di accesso, utilizza la seguente dichiarazione.

SET ROLE ALL;

Per ulteriori informazioni, consulta SET ROLE nella documentazione di MySQL.

Concedi i privilegi di database a un singolo utente IAM o account di servizio

Quando un singolo utente o servizio IAM viene aggiunto all'istanza Cloud SQL, il nuovo account non vengono concessi privilegi su nessun database, per impostazione predefinita.

Per assegnare i privilegi di database agli account, utilizza l'istruzione GRANT. Consulta la pagina di riferimento GRANT per un elenco completo dei privilegi che puoi concedere a utenti e account di servizio. Esegui GRANT dal riga di comando mysql.

Sostituisci quanto segue:

  • USERNAME: per un account utente, si tratta dell'indirizzo email dell'utente IAM con @ e la stringa del dominio troncati. Ad esempio, se l'indirizzo email dell'utente IAM è example-user@example.com, il nome utente sarà example-user. Per un account di servizio, è l'indirizzo email dell'account di servizio senza il dominio @project-id.iam.gserviceaccount.com.
  • DATABASE_NAME: il nome del database che ospita la tabella.
  • TABLE_NAME: il nome della tabella a cui vuoi concedere all'utente accesso.
  • grant select on DATABASE_NAME.TABLE_NAME to "USERNAME";

    Concedi i privilegi di database a un gruppo IAM

    Quando utilizzi l'autenticazione di gruppo IAM, concedi i privilegi di database ai gruppi IAM anziché ai singoli utenti o account di servizio. Per impostazione predefinita, quando aggiungi un gruppo IAM a un'istanza Cloud SQL, il gruppo non dispone di privilegi di database.

    Per concedere i privilegi di database al gruppo IAM, utilizza l'istruzione GRANT. Dopo aver eseguito l'accesso all'istanza Cloud SQL per la prima volta, ogni membro del gruppo (inclusi utenti e account di servizio) eredita automaticamente i privilegi di database concessi al gruppo.

    Sostituisci quanto segue:

  • GROUP_NAME: la prima parte dell'indirizzo email del gruppo Cloud Identity con @ e il nome di dominio troncati. Ad esempio, se l'indirizzo email del gruppo IAM è example-group@example.com, il nome del gruppo è example-group.
  • DATABASE_NAME: il nome del database che ospita la tabella.
  • TABLE_NAME: il nome della tabella che vuoi assegnare all'utente a cui accedono.
  • Esegui GRANT dalla riga di comando mysql.

    grant select on DATABASE_NAME.TABLE_NAME to "GROUP_NAME"@"HOSTNAME";

    Sostituisci HOSTNAME con il nome di dominio dell'indirizzo email del gruppo IAM.

    Per ulteriori informazioni sull'assegnazione dei privilegi, consulta la pagina di riferimento GRANT nella documentazione di MySQL.

    I privilegi di database che concedi al gruppo IAM prendono l'effetto immediato.

    Visualizzare gli utenti, gli account di servizio e i gruppi aggiunti a un'istanza Cloud SQL

    Per visualizzare gli utenti, gli account di servizio e i gruppi IAM che hanno all'istanza Cloud SQL, esegui questi comandi.

    Console

    1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

      Vai a Istanze Cloud SQL

    2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
    3. Seleziona Users (Utenti) dal menu di navigazione SQL. La pagina mostra un elenco di utenti IAM, account di servizio e gruppi Cloud Identity aggiunti all'istanza.
    4. (Facoltativo) Per visualizzare un elenco di utenti o account di servizio IAM che hanno già eseguito l'accesso all'istanza, fai clic su Gruppo IAM autenticato. .

    gcloud

    Sostituisci INSTANCE_NAME con il nome dell'istanza con gruppi che vuoi visualizzare.

      gcloud sql users list --instance=INSTANCE_NAME
      

    I gruppi hanno un tipo di utente CLOUD_IAM_GROUP.

    L'output elenca anche gli account utente e di servizio per l'istanza Cloud SQL.

    • Gli account utente che sono membri di un gruppo sono di tipo CLOUD_IAM_GROUP_USER.
    • Gli account di servizio che sono membri di un gruppo hanno il tipo CLOUD_IAM_GROUP_SERVICE_ACCOUNT.
    • Gli account utente che sono singoli account utente di autenticazione del database IAM hanno il tipo CLOUD_IAM_USER.
    • Gli account di servizio che sono singoli account di servizio di autenticazione del database IAM hanno il tipo CLOUD_IAM_SERVICE_ACCOUNT.

    REST v1

    La seguente richiesta utilizza il metodo users.list per elencare gli utenti che hanno account nell'istanza Cloud SQL.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'ID progetto
    • INSTANCE_ID: l'ID istanza

    Metodo HTTP e URL:

    GET https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users/list

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    
    {
      "kind": "sql#usersList",
      "items": [
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "example-service-acct",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "type": "CLOUD_IAM_SERVICE_ACCOUNT"
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "another-example-service-acct",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "type": "CLOUD_IAM_GROUP_SERVICE_ACCOUNT"
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "root",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "passwordPolicy": {
            "status": {}
          }
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "example-user",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "type": "CLOUD_IAM_USER"
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "another-example-user",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "type": "CLOUD_IAM_GROUP_USER"
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "example-group",
          "host": "%",
          "instance": "INSTANCE_ID",
          "project": "PROJECT_ID",
          "type": "CLOUD_IAM_GROUP"
        }
      ]
    }
    
    

    I gruppi hanno un tipo di utente CLOUD_IAM_GROUP.

    L'output elenca anche gli account utente e di servizio per l'istanza Cloud SQL.

    • Gli account utente che sono membri di un gruppo sono di tipo CLOUD_IAM_GROUP_USER.
    • Gli account di servizio che sono membri di un gruppo hanno il tipo CLOUD_IAM_GROUP_SERVICE_ACCOUNT.
    • Gli account utente che sono singoli account utente di autenticazione del database IAM hanno il tipo CLOUD_IAM_USER.
    • Gli account di servizio che sono singoli account di servizio di autenticazione del database IAM hanno il tipo CLOUD_IAM_SERVICE_ACCOUNT.

    REST v1beta4

    La seguente richiesta utilizza il metodo users.list per elencare gli utenti che hanno account nell'istanza Cloud SQL.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • project-id: il tuo ID progetto
    • instance-id: l'ID istanza desiderato

    Metodo HTTP e URL:

    GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
      "kind": "sql#usersList",
      "items": [
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "sqlserver",
          "host": "",
          "instance": "instance-id",
          "project": "project-id",
          "sqlserverUserDetails": {
            "serverRoles": [
              "CustomerDbRootRole"
            ]
          }
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "user-id-1",
          "host": "",
          "instance": "instance-id",
          "project": "project-id",
          "sqlserverUserDetails": {
            "serverRoles": [
              "CustomerDbRootRole"
            ]
          }
        },
        {
          "kind": "sql#user",
          "etag": "--redacted--",
          "name": "user-id-2",
          "host": "",
          "instance": "instance-id",
          "project": "project-id",
          "sqlserverUserDetails": {
            "serverRoles": [
              "CustomerDbRootRole"
            ]
          }
        },
        {
          ...
        },
        {
          ...
        }
      ]
    }
    

    I gruppi hanno un tipo di utente CLOUD_IAM_GROUP.

    L'output elenca anche gli account utente e di servizio per l'istanza Cloud SQL.

    • Gli account utente che sono membri di un gruppo sono di tipo CLOUD_IAM_GROUP_USER.
    • Gli account di servizio che sono membri di un gruppo hanno il tipo CLOUD_IAM_GROUP_SERVICE_ACCOUNT.
    • Gli account utente che sono singoli account utente di autenticazione del database IAM hanno il tipo CLOUD_IAM_USER.
    • Gli account di servizio che sono singoli account di servizio di autenticazione dei database IAM sono del tipo di CLOUD_IAM_SERVICE_ACCOUNT.

    Rimuovere un singolo utente IAM o un account di servizio da un'istanza Cloud SQL

    Per rimuovere un singolo account utente o di servizio che non fa parte di un gruppo dall'istanza Cloud SQL, elimini questo account utilizzando il seguente comando:

    Console

    1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

      Vai a Istanze Cloud SQL

    2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
    3. Seleziona Users (Utenti) dal menu di navigazione SQL.
    4. Fai clic su in corrispondenza dell'utente che ti interessa. da rimuovere.
    5. Seleziona Rimuovi. In questo modo viene revocato l'accesso solo a questa istanza.

    gcloud

    Ritirare l'accesso a un utente

    Utilizza l'indirizzo email, ad esempio example-user@example.com, per identificare l'utente.

    Sostituisci quanto segue:

    • USERNAME: l'indirizzo email senza @nome di dominio.
    • INSTANCE_NAME: il nome dell'istanza di cui vuoi rimuovere da cui proviene l'utente.
    gcloud sql users delete USERNAME \
    --instance=INSTANCE_NAME

    Eliminare il singolo account di servizio

    Sostituisci quanto segue:

    • SERVICE_ACCT: l'indirizzo email dell'account di servizio.
    • INSTANCE_NAME: il nome dell'istanza da cui vuoi rimuovere l'utente.
    gcloud sql users delete SERVICE_ACCT \
    --instance=INSTANCE_NAME

    REST v1

    La seguente richiesta utilizza users.delete per eliminare l'account utente specificato.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • PROJECT_ID: il tuo ID progetto
    • INSTANCE_ID: l'ID istanza desiderato
    • USERNAME: l'indirizzo email dell'account utente o di servizio

    Metodo HTTP e URL:

    DELETE https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
      "kind": "sql#operation",
      "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
      "status": "DONE",
      "user": "user@example.com",
      "insertTime": "2020-02-07T22:38:41.217Z",
      "startTime": "2020-02-07T22:38:41.217Z",
      "endTime": "2020-02-07T22:38:44.801Z",
      "operationType": "DELETE_USER",
      "name": "OPERATION_ID",
      "targetId": "INSTANCE_ID",
      "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
      "targetProject": "PROJECT_ID"
    }
    

    REST v1beta4

    La richiesta seguente utilizza il metodo users.delete per eliminare l'account utente specificato.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • PROJECT_ID: il tuo ID progetto
    • INSTANCE_ID: l'ID istanza desiderato
    • USERNAME: l'indirizzo email dell'account utente o di servizio

    Metodo HTTP e URL:

    DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

    Per inviare la richiesta, espandi una delle seguenti opzioni:

    Dovresti ricevere una risposta JSON simile alla seguente:

    {
      "kind": "sql#operation",
      "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
      "status": "DONE",
      "user": "user@example.com",
      "insertTime": "2020-02-07T22:38:41.217Z",
      "startTime": "2020-02-07T22:38:41.217Z",
      "endTime": "2020-02-07T22:38:44.801Z",
      "operationType": "DELETE_USER",
      "name": "OPERATION_ID",
      "targetId": "INSTANCE_ID",
      "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
      "targetProject": "PROJECT_ID"
    }
    

    Rimuovere i membri del gruppo IAM da un'istanza Cloud SQL

    Esistono due modi per rimuovere i membri di un gruppo IAM da un Istanza Cloud SQL:

    • Rimozione automatica
    • Rimozione manuale

    Rimozione automatica

    Per rimuovere un membro di un gruppo IAM, devi rimuovere la sua appartenenza dai gruppi IAM applicabili in Cloud Identity. Dopo che gli utenti del gruppo IAM hanno perso l'appartenenza a tutti i gruppi applicabili in Cloud Identity, Cloud SQL rimuove automaticamente questi utenti di gruppo dall'istanza.

    Le modifiche all'appartenenza al gruppo, ad esempio l'aggiunta o la rimozione di un membro, richiedono circa 15 minuti per essere propagate. Questo tempo si aggiunge al tempo necessario per le modifiche IAM.

    Rimozione manuale

    Se non è possibile rimuovere automaticamente un utente di un gruppo IAM, puoi rimuoverlo manualmente. Non puoi rimuovere manualmente un account IAM raggruppa gli utenti da un'istanza Cloud SQL utilizzando gcloud CLI, Console Google Cloud, Terraform o l'API Cloud SQL Admin. Gli utenti del database con privilegi di super user possono invece eliminare manualmente gli utenti del gruppo IAM dall'istanza Cloud SQL utilizzando un'istruzione DROP USER da un client MySQL.

    Dopo aver eseguito manualmente rimuovi un utente del gruppo IAM dall'istanza Cloud SQL e assicurati di rimuoverli anche dal gruppo IAM in Cloud Identity per impedire ulteriori accessi a Cloud SQL in esecuzione in un'istanza Compute Engine.

    Elimina un gruppo IAM da un'istanza Cloud SQL

    Puoi eliminare i gruppi IAM aggiunti dall'istanza Cloud SQL. Dopo aver eliminato un gruppo IAM dall'istanza, tutti gli utenti e gli account di servizio appartenenti al gruppo IAM perdono i privilegi di database concessi al gruppo IAM. Inoltre, si applicano le seguenti condizioni:

    • Gli utenti e gli account di servizio che appartengono gruppo sono comunque in grado di accedere fino a quando Autorizzazione IAM cloudsql.instances.login viene rimosso dal gruppo.
    • Se l'eliminazione di un gruppo determina la presenza dell'utente del gruppo IAM o account di servizio che non appartengono ad altri gruppi nell'istanza, Cloud SQL rimuove l'utente del gruppo IAM. o account di servizio dall'istanza.

    Se elimini tutti i gruppi IAM da un'istanza Cloud SQL, tutti gli utenti e gli account di servizio del gruppo IAM perdono tutti i loro privilegi di database. Inoltre, si applicano le seguenti condizioni:

    • Tutti gli utenti del gruppo IAM e gli account di servizio non riescono ad accedere all'istanza.
    • Cloud SQL rimuove inoltre tutti gli utenti del gruppo IAM e automaticamente gli account di servizio dell'istanza.

    Console

    1. Nella console Google Cloud, vai alla pagina Istanze Cloud SQL.

      Vai a Istanze Cloud SQL

    2. Per aprire la pagina Panoramica di un'istanza, fai clic sul nome dell'istanza.
    3. Seleziona Users (Utenti) dal menu di navigazione SQL.
    4. Fai clic su in corrispondenza del gruppo che ti interessa. da rimuovere.
    5. Seleziona Rimuovi. Revoca l'accesso solo a questa istanza.

    gcloud

    Per eliminare un gruppo Cloud Identity da un'istanza, utilizza la classe gcloud sql users delete .

    Sostituisci quanto segue:

    • GROUP_NAME: la prima parte dell'indirizzo email del gruppo Cloud Identity. Ad esempio, se utilizzi l'indirizzo email example-group@example.com, il nome del gruppo Cloud Identity è example-group.
    • HOSTNAME: la seconda parte dell'indirizzo email rappresenta il nome host del gruppo Cloud Identity. Ad esempio, utilizzando indirizzo email example-group@example.com, il nome host è example.com.
    • INSTANCE_NAME: il nome dell'istanza Cloud SQL con il gruppo Cloud Identity che vuoi eliminare.
    gcloud sql users delete GROUP_NAME \
       --host=HOSTNAME \
       --instance=INSTANCE_NAME

    Rimuovere le autorizzazioni di accesso IAM da un gruppo IAM

    Se revochi il ruolo cloudsql.instanceUser da un gruppo IAM, tutti i membri del gruppo perderanno la possibilità di accedere a qualsiasi nel progetto. Gli utenti o gli account di servizio possono accedere alle istanze solo se fanno parte di un altro gruppo IAM che ha ancora autorizzazioni di accesso.

    Per revocare un ruolo da un gruppo Cloud Identity, consulta Revocare un singolo ruolo.

    Rimuovere utenti da un gruppo IAM

    I membri del gruppo IAM, come utenti o account di servizio, possono essere rimossi dal gruppo IAM in Cloud Identity.

    Dopo che la rimozione è stata propagata tramite IAM, l'utente può non accedono più al database a meno che non abbiano ricevuto autorizzazioni di accesso da un altro gruppo oppure vengono concessi direttamente i privilegi di accesso. Inoltre, gli utenti sono stati rimossi da un perdono i privilegi di database del gruppo.

    Se un utente del gruppo IAM non appartiene ad alcun gruppo nell'istanza: Cloud SQL rimuove automaticamente l'utente l'istanza.

    Visualizzare i dati di accesso negli audit log

    Puoi attivare gli audit log per acquisire gli accessi IAM al database. In caso di problemi di accesso, puoi utilizzare i log di controllo per diagnosticare il problema.

    Dopo la configurazione, visualizza gli audit log di accesso ai dati di accessi riusciti utilizzando Esplora log.

    Per l'autenticazione di gruppo IAM, gli audit log mostrano l'attività e gli accessi di singoli account utente e di servizio.

    Ad esempio, un log potrebbe contenere informazioni simili alle seguenti:

    {
     insertId: "..."
     logName: "projects/.../logs/cloudaudit.googleapis.com%2Fdata_access"
     protoPayload: {
      @type: "type.googleapis.com/google.cloud.audit.AuditLog"
      authenticationInfo: {
       principalEmail: "..."
      }
      authorizationInfo: [
       0: {
        granted: true
        permission: "cloudsql.instances.login"
        resource: "instances/..."
        resourceAttributes: {
        }
       }
      ]
      methodName: "cloudsql.instances.login"
      request: {
       @type: "type.googleapis.com/google.cloud.sql.authorization.v1.InstancesLoginRequest"
       clientIpAddress: "..."
       database: "..."
       databaseSessionId: ...
       instance: "projects/.../locations/us-central1/instances/..."
       user: "..."
      }
      requestMetadata: {
       callerIp: "..."
       destinationAttributes: {
       }
       requestAttributes: {
        auth: {
        }
        time: "..."
       }
      }
      resourceName: "instances/..."
      serviceName: "cloudsql.googleapis.com"
      status: {
      }
     }
     receiveTimestamp: "..."
     resource: {
      labels: {
       database_id: "...:..."
       project_id: "..."
       region: "us-central"
      }
      type: "cloudsql_database"
     }
     severity: "INFO"
     timestamp: "..."
    }
    

    Risolvere i problemi di accesso

    Quando un tentativo di accesso non va a buon fine, MySQL restituisce un messaggio di errore minimo per motivi di sicurezza. Ad esempio:

    $MYSQL_PWD=`gcloud-access-token mysql` --enable-cleartext-plugin --ssl-ca=server-ca.pem
    --ssl-cert=client-cert.pem --ssl-key=client-key.pem   --host=ip_address --user=testuser
    Access denied for user 'testuser'@'...' (using password: NO)
    

    Puoi esaminare i log degli errori MySQL per ulteriori dettagli sull'errore. Per ulteriori informazioni, vedi Visualizzazione dei log.

    Ad esempio, per l'errore precedente, la seguente voce di log spiega l'azione che puoi intraprendere per risolvere il problema.

    F ... [152172]: [1-1] db=...,user=... FATAL:  Cloud SQL IAM user authentication failed for user "..."
    I ... [152172]: [2-1] db=...,user=... DETAIL:  Request is missing required authentication credential. Expected OAuth 2 access token, log in cookie or other valid authentication credential. See https://developers.google.com/identity/sign-in/web/devconsole-project.
    

    Controlla il messaggio di errore visualizzato. Se il messaggio non indica che hai utilizzato "Autenticazione utente IAM Cloud SQL" o "Autenticazione account di servizio IAM Cloud SQL", verifica che il tipo di utente del database utilizzato per accedere sia CLOUD_IAM_USER o CLOUD_IAM_SERVICE_ACCOUNT. Per un utente IAM, verifica che il nome utente del database sia l'indirizzo email dell'utente IAM senza @ e il dominio. Per un account di servizio, verifica che si tratti dell'indirizzo email dell'account di servizio senza il carattere @project-id.iam.gserviceaccount.com.

    Se hai utilizzato l'autenticazione del database IAM, controlla i dettagli del messaggio di errore. Puoi trovare nel log degli errori del database. Se indica il token di accesso (OAuth 2.0) che hai inviato perché la password non era valida, puoi usare gcloud auth application-default print-access-token gcloud per trovare i dettagli del token, come segue:

    curl -H "Content-Type: application/x-www-form-urlencoded" \
    -d "access_token=$(gcloud auth application-default print-access-token)" \
    https://www.googleapis.com/oauth2/v1/tokeninfo

    Verifica che il token sia destinato all'account di servizio o all'utente IAM previsto e che non sia scaduto.

    Se i dettagli indicano una mancanza di autorizzazione, verifica che all'account di servizio o all'utente IAM sia stata concessa l'autorizzazione cloudsql.instances.login utilizzando il ruolo Cloud SQL Instance User predefinito o un ruolo personalizzato nel criterio IAM del progetto dell'istanza. Utilizza lo strumento per la risoluzione dei problemi relativi ai criteri IAM per ulteriore assistenza.

    Se un accesso non va a buon fine perché l'autenticazione del database IAM non è disponibile, l'utente può accedere utilizzando il metodo utente e password MySQL predefiniti. Questo metodo di accesso offre comunque l'accesso utente all'intero database. Verifica che la connessione sia protetta connessione.

    Risolvere i problemi relativi agli account utente che utilizzano l'autenticazione di gruppo IAM

    Questa sezione elenca gli scenari di risoluzione dei problemi relativi all'autenticazione dei gruppi IAM.

    Impossibile aggiungere un gruppo a un database

    Quando tenti di aggiungere un gruppo a un'istanza, ricevi il seguente errore:

    (gcloud.sql.users.create) HTTPError 400: Invalid request: Provided CLOUD_IAM_GROUP: EMAIL, does not exist.
    

    Assicurati che l'indirizzo email che hai fornito sia un gruppo valido.

    Se il gruppo non esiste ancora, crealo. Per ulteriori informazioni sulla creazione di gruppi, consulta Creare e gestire gruppi Google nella console Google Cloud.

    Se ricevi il seguente errore:

    (gcloud.sql.users.create) HTTPError 400: Invalid request: IAM Group Authentication is disabled.
    

    Prima di poter utilizzare l'autenticazione di gruppo IAM, l'istanza Cloud SQL richiede il seguente aggiornamento di manutenzione:

    R20240514.00_04 o versioni successive

    Puoi applicare l'aggiornamento di manutenzione all'istanza utilizzando la manutenzione self-service. Per ulteriori informazioni, vedi Manutenzione self-service.

    Un account utente o di servizio IAM esistente non eredita i privilegi di database concessi al proprio gruppo IAM

    Se un account di servizio o utente IAM esistente non eredita i privilegi di database corretti del gruppo, completa i seguenti passaggi:

    1. Nella console Google Cloud, vai alla pagina IAM.

      Vai a IAM

      Verifica che l'account sia un membro del gruppo è stato aggiunto all'istanza Cloud SQL.

    2. Elenca gli utenti e gli account di servizio nell'istanza.

      gcloud sql users list --instance=INSTANCE_NAME

      Nell'output, controlla se l'account utente o di servizio è indicato come CLOUD_IAM_USER o CLOUD_IAM_SERVICE_ACCOUNT.

    3. Se l'account utente o di servizio è elencato come account CLOUD_IAM_USER o CLOUD_IAM_SERVICE_ACCOUNT, e poi rimuovere l'account dall'istanza. L'account che stai rimuovendo è un singolo account IAM che non eredita il database privilegi del gruppo.

    4. Accedi di nuovo all'istanza con l'account utente o di servizio.

      Se accedi di nuovo all'istanza, l'account viene creato nuovamente con tipo di account CLOUD_IAM_GROUP_USER o CLOUD_IAM_GROUP_SERVICE_ACCOUNT.

    Passaggi successivi