Google Cloud には Identity and Access Management(IAM)機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。このページでは、Cloud SQL IAM の役割と権限について説明します。Google Cloud IAM の詳細については、IAM のドキュメントをご覧ください。
Cloud SQL リソースへのアクセス権を制御できるように、Cloud SQL には事前定義ロールが用意されています。事前定義ロールの中に必要な権限を付与するものがない場合は、カスタムロールを独自に作成することもできます。また、従来の基本ロール(編集者、閲覧者、オーナー)もまだ使用できますが、Cloud SQL ロールほど細かい制御はできません。特に、基本ロールは Cloud SQL だけではなく、Google Cloud 全体のリソースへのアクセス権を付与します。基本ロールの詳細については、基本ロールをご覧ください。
IAM ポリシーを、リソース階層の任意のレベル(組織レベル、フォルダレベル、プロジェクト レベル、リソースレベル)で設定できます。リソースは親リソースのポリシーをすべて継承します。
Cloud SQL 用 IAM リファレンス
- Google Cloud コンソールでの一般的なタスクに必要な権限。
gcloud sqlコマンドに必要な権限。- Cloud SQL Admin API メソッドに必要な権限。
- 事前定義された Cloud SQL IAM ロール。
- 権限とそのロール。
- カスタムロール。
IAM Conditions について
Cloud SQL では IAM Conditions もサポートしているため、個々の Cloud SQL リソースレベル(プロジェクト内のインスタンスやバックアップなど)でロールと権限を調整できます。IAM ポリシー バインディングのプロパティとして条件を追加して、メンバーがアクセスできるインスタンスのサブセットを指定できます。
IAM の条件を使用すると、さまざまな属性に基づいてロールを付与できます。たとえば、特定の日時にのみアクセスを許可することや、特定の名前の Cloud SQL リソースにのみアクセス権を付与することが可能です。
Cloud SQL での IAM Conditions の使用の詳細と例をご覧ください。
IAM Conditions の詳細については、IAM Conditions の概要をご覧ください。