Vordefinierte Cloud SQL-IAM-Rollen
Cloud SQL bietet einige vordefinierte Rollen, die Sie verwenden können, um den Projektmitgliedern fein abgestimmte Berechtigungen zur Verfügung zu stellen.
Die Rolle, die Sie einem Projektmitglied gewähren, steuert, welche Aktionen das Mitglied vornehmen kann. Projektmitglieder können Einzelpersonen, Gruppen oder Dienstkonten sein. Sie können demselben Projektmitglied mehrere Rollen zuweisen und die einem Projektmitglied gewährten Rollen jederzeit ändern, sofern Sie selbst die Berechtigungen dazu haben.
Die Rollen mit höheren Berechtigungen beinhalten die Rollen mit niedrigeren Berechtigungen. Beispielsweise enthält die Rolle "Cloud SQL-Bearbeiter" alle Berechtigungen der Rolle "Cloud SQL-Betrachter" sowie die zusätzlichen Berechtigungen der Rolle "Cloud SQL-Bearbeiter".
Entsprechend enthält die Rolle „Cloud SQL-Administrator“ alle Berechtigungen der Rolle „Cloud SQL-Bearbeiter“ sowie zusätzliche Berechtigungen.
Die einfachen Rollen (Inhaber, Bearbeiter, Betrachter) stellen Berechtigungen in Google Cloud insgesamt bereit. Die Rollen für Cloud SQL bieten nur Cloud SQL-Berechtigungen. Dies gilt nicht für die folgenden Google Cloud-Berechtigungen, die für die allgemeine Google Cloud-Nutzung erforderlich sind:
resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.use
In der folgenden Tabelle sind die vordefinierten Rollen, die für Cloud SQL benötigt werden, zusammen mit den jeweiligen Cloud SQL-Berechtigungen aufgelistet:
| Rollenname |
Beschreibung Cloud SQL-Berechtigungen |
|---|---|
roles/ownerInhaber |
Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs cloudsql.* |
roles/editorBearbeiter |
Lese- und Schreibzugriff auf alle Google Cloud- und Cloud SQL-Ressourcen; vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern Alle cloudsql-Berechtigungen außer für cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewerBetrachter |
Lesezugriff auf alle Google Cloud-Ressourcen, einschließlich Cloud SQL-Ressourcencloudsql.*.exportcloudsql.*.getcloudsql.*.list |
roles/cloudsql.adminCloud SQL-Administrator |
Uneingeschränkte Kontrolle über Cloud SQL-Ressourcencloudsql.*recommender.cloudsqlInstanceDiskUsageTrendInsights.*recommender.cloudsqlInstanceOutOfDiskRecommendations.*recommender.cloudsqlInstancePerformanceInsights.*recommender.cloudsqlInstancePerformanceRecommendations.*recommender.cloudsqlUnderProvisionedInstanceRecommendations.*recommender.cloudsqlInstanceOomProbabilityInsights.*recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.*recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editorCloud SQL-Bearbeiter |
Verwaltung von Cloud SQL-Ressourcen; Keine Möglichkeit, Berechtigungen zu sehen oder zu ändern sowie Nutzer oder sslCerts zu ändern. Weder die Berechtigung, Daten zu importieren oder von einer Sicherung wiederherzustellen, noch Instanzen zu klonen, zu löschen oder hochzustufen Keine Möglichkeit, Replikate zu starten oder zu stoppen. Keine Möglichkeit, Datenbanken, Replikate oder Sicherungen zu löschen.cloudsql.instances.addServerCacloudsql.instances.connectcloudsql.instances.exportcloudsql.instances.failovercloudsql.instances.getcloudsql.instances.listcloudsql.instances.listServerCascloudsql.instances.migratecloudsql.instances.reencryptcloudsql.instances.restartcloudsql.instances.rotateServerCacloudsql.instances.truncateLogcloudsql.instances.updatecloudsql.databases.createcloudsql.databases.getcloudsql.databases.listcloudsql.databases.updatecloudsql.backupRuns.createcloudsql.backupRuns.getcloudsql.backupRuns.listcloudsql.schemas.view
cloudsql.sslCerts.getcloudsql.sslCerts.listcloudsql.users.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.updaterecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceInsights.updaterecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlInstancePerformanceRecommendations.updaterecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.updaterecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceOomProbabilityInsights.updaterecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.updaterecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewerCloud SQL-Betrachter |
Schreibgeschützter Zugriff auf alle Cloud SQL-Ressourcencloudsql.*.exportcloudsql.*.getcloudsql.*.listcloudsql.instances.listServerCasrecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.clientCloud SQL Client |
Verbindungszugriff auf Cloud SQL-Instanzen von App Engine und dem Cloud SQL Auth-Proxy. Nicht für den Zugriff über IP-Adressen auf eine Instanz erforderlich.cloudsql.instances.connectcloudsql.instances.get
|
roles/cloudsql.instanceUserCloud SQL-Instanznutzer |
Rolle für den Zugriff auf eine Cloud SQL-Instanz.cloudsql.instances.getcloudsql.instances.login
|
roles/cloudsql.schemaViewerCloud SQL Schema Viewer |
Rolle, die den Zugriff auf Cloud SQL-Instanzschema in Dataplex erlaubt.cloudsql.schemas.view
|
Berechtigungen und ihre Rollen
In der folgenden Tabelle sind die Berechtigungen, die Cloud SQL unterstützt, sowie die Cloud SQL-Rollen, in denen sie enthalten sind, mit Ihrer einfachen Rolle aufgeführt.
| Berechtigung | Cloud SQL-Rollen | Alte Rolle |
|---|---|---|
cloudsql.backupRuns.create |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.backupRuns.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.backupRuns.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.backupRuns.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.create |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.databases.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.databases.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.getIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.databases.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.setIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.databases.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.addServerCa |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.clone |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.connect |
Cloud SQL-Administrator Cloud SQL-Client Cloud SQL-Bearbeiter |
Editor |
cloudsql.instances.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.demoteMaster |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.executeSql |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.export |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.failover |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.get |
Cloud SQL-Administrator Cloud SQL-Client Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.getIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.import |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.listServerCas |
Cloud SQL-Betrachter | Betrachter |
cloudsql.instances.promoteReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.resetSslConfig |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.reencrypt |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.restart |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.restoreBackup |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instance.rotateServerCa |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.setIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.startReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.stopReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.truncateLog |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Editor |
cloudsql.schemas.view |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Schema-Betrachter |
Betrachter |
cloudsql.sslCerts.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.sslCerts.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.sslCerts.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.sslCerts.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.users.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.users.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.users.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.users.update |
Cloud SQL-Administrator | Bearbeiter |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstancePerformanceInsights.get
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceInsights.list
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceInsights.update
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
Benutzerdefinierte Rollen
Wenn die vordefinierten Rollen Ihren speziellen Geschäftsanforderungen nicht gerecht werden, können Sie eigene benutzerdefinierte Rollen mit Berechtigungen definieren, die Sie angeben. IAM bietet benutzerdefinierte Rollen an, um dies zu unterstützen.
Wenn Sie benutzerdefinierte Rollen für Cloud SQL erstellen, müssen Sie bei der Angabe von cloudsql.instances.list oder cloudsql.instances.get darauf achten, dass beide Berechtigungen angegeben werden. Andernfalls wird die Google Cloud Console für Cloud SQL nicht ordnungsgemäß funktionieren.