Questa pagina fornisce informazioni sui ruoli IAM (Identity and Access Management) e autorizzazioni e come vengono usate con le istanze Cloud SQL.
Introduzione
Questa pagina si concentra sugli aspetti di IAM pertinenti specificamente a Cloud SQL. Per una discussione dettagliata Per IAM e le sue funzionalità in generale, consulta Identity and Access Management. in particolare la sezione Gestire i criteri IAM. IAM consente di controllare chi ha accesso risorse nel tuo progetto Google Cloud. L'insieme di regole di accesso che applichi a una risorsa è chiamato criterio IAM. Un criterio IAM applicata al tuo progetto definisce le azioni che gli utenti possono eseguire su tutte le risorse all'interno del progetto.
I membri sono i "chi" di IAM. I membri possono essere singoli utenti, gruppi, domini o persino il pubblico nel suo complesso. Ai membri vengono assegnati dei ruoli che consentono ai membri di eseguire azioni in Cloud SQL e Google Cloud più in generale. Ogni ruolo è una raccolta di una o più autorizzazioni. Le autorizzazioni sono le unità di base di IAM: ogni autorizzazione consente di eseguire una determinata azione. Consulta Ruoli IAM in Cloud SQL e Autorizzazioni IAM in Cloud SQL per elenchi completi di tutti i ruoli e le autorizzazioni disponibili in Cloud SQL.
Quando utilizzi un account per connetterti a un'istanza Cloud SQL, l'account deve disporre del ruolo Cloud SQL > Client (roles/cloudsql.client
), che include le autorizzazioni necessarie per la connessione.
Puoi aggiungere ruoli a un account nella console nella pagina IAM e amministrazione > IAM e visualizzare le autorizzazioni appartenenti a ciascun ruolo nella pagina IAM e amministrazione > Ruoli.
Cloud SQL utilizza account di servizio per l'autenticazione tra Cloud SQL
e altri prodotti Google Cloud. Gli account di servizio forniscono credentials
in
Formato JSON, che puoi scaricare dalla console e utilizzare per l'autenticazione
in vari scenari.
Ruoli e autorizzazioni Cloud SQL con il proxy di autenticazione Cloud SQL
Se ti connetti a un'istanza Cloud SQL da Compute Engine utilizzando il proxy di autenticazione Cloud SQL, puoi utilizzare l'account di servizio Compute Engine predefinito associato di Compute Engine.
Come per tutti gli account che si connettono a un'istanza Cloud SQL, l'account di servizio deve disporre del ruolo Cloud SQL > Client.
Ruoli e autorizzazioni Cloud SQL con opzioni serverless
Le opzioni serverless di Google Cloud includono App Engine, funzioni Cloud Run e Cloud Run.Utilizza un account di servizio per autorizzare l'accesso da queste opzioni. Il servizio autorizza l'accesso a tutto il codice Cloud SQL in un progetto specifico. Quando crei un'applicazione o una funzione Cloud Run, questo servizio crea l'account per te. Puoi trovare l'account nella pagina IAM e amministrazione > IAM , con il suffisso appropriato:
Opzione serverless | Sufisso dell'account di servizio |
---|---|
App Engine | @gae-api-prod.google.com.iam.gserviceaccount.com |
Funzioni Cloud Run | @appspot.gserviceaccount.com |
Cloud Run | compute@developer.gserviceaccount.com |
Ruoli e autorizzazioni Cloud SQL con Cloud Storage
Le funzionalità di importazione ed esportazione in Cloud SQL funzionano insieme. Le esportazioni scrivono in Cloud Storage e le importazioni leggono da lì. Per questo motivo, l'account di servizio che utilizzi per queste operazioni richiede sia la lettura che la scrittura le autorizzazioni per Cloud Storage:
- Per importare ed esportare dati da Cloud Storage, Cloud SQL
l'account di servizio dell'istanza deve avere
storage.objectAdmin
Ruolo IAM impostato nel progetto. Tu puoi trovare il nome dell'account di servizio dell'istanza nella console Google Cloud sul tuo nella pagina Panoramica dell'istanza. - Puoi utilizzare il comando
gcloud storage buckets add-iam-policy-binding
per concedere questo ruolo IAM all'account di servizio per il bucket. - Per assistenza sull'impostazione di ruoli e autorizzazioni IAM, consulta Utilizzando Autorizzazioni IAM.
- Per ulteriori informazioni, consulta IAM per Cloud Storage.
Ruoli e autorizzazioni Cloud SQL con autenticazione di gruppo IAM
Quando utilizzi l'autenticazione di gruppo IAM, crei gruppi. Puoi quindi utilizzare per gestire i privilegi di accesso e database alle istanze Cloud SQL.
La tabella seguente elenca i ruoli necessari per gestire l'autenticazione dei gruppi IAM.
Azione | Ruoli |
---|---|
Creare, visualizzare e gestire i gruppi. |
|
Visualizza il log delle modifiche alle iscrizioni ai gruppi IAM. |
|
Concedi, visualizza e imposta le autorizzazioni IAM a livello di progetto. |
|
Concedi, visualizza e imposta le autorizzazioni IAM a livello di cartella. |
|
L'amministratore può concedere ruoli Cloud SQL o singole autorizzazioni Cloud SQL a ciascun gruppo. I membri di ogni gruppo ereditano i ruoli e le autorizzazioni.
Ruoli e autorizzazioni di Cloud SQL per l'integrazione di Dataplex
Per fornire l'accesso ai metadati Cloud SQL su Dataplex,
può concedere a un utente il ruolo roles/cloudsql.schemaViewer
o aggiungere
Autorizzazione cloudsql.schemas.view
per un ruolo personalizzato.
Per saperne di più, consulta Gestire le risorse Cloud SQL con Dataplex Catalog.
Autorizzazione per accedere alle istanze Cloud SQL private
Quando un altro servizio Google Cloud, come BigQuery, deve comunicare con la tua istanza Cloud SQL per accedere ai dati ed eseguire query su una connessione privata, il servizio utilizza un percorso interno anziché l'IP privato nel VPC (Virtual Private Cloud). Il traffico non può essere controllato o limitati a configurazioni a livello di VPC, regole firewall, criteri di route del peering.
Cloud SQL offre invece un flag di configurazione nell'istanza per controllare se attivare o disattivare questo percorso interno per altri servizi Google Cloud che accedono al tuo database.
Controllare e revocare l'autorizzazione
Quando un altro servizio Google Cloud, come BigQuery, tenta di
per accedere alla tua istanza Cloud SQL privata, deve fornire un'identità legittima
con l'autorizzazione IAM cloudsql.instances.connect
.
In genere, un servizio può ottenere questo risultato in due modi:
- Inoltro delle credenziali dell'utente. Un servizio può inoltrare i dati IAM dell'utente l'identità a Cloud SQL per valutare l'autorizzazione ad accedere a un'istanza. In questo scenario, l'utente deve disporre di autorizzazioni IAM sufficienti Cloud SQL può stabilire una connessione.
Tramite un account di servizio. Un servizio, come BigQuery, può utilizzare un account di servizio preconfigurato per connettersi a un'istanza Cloud SQL. In questo caso, l'account di servizio deve disporre di autorizzazioni IAM sufficienti.
Ad esempio, per la connessione federata tra BigQuery e Cloud SQL, un account di servizio denominato
service-{PROJECT_NUMBER}@gcp-sa-bigqueryconnection.iam.gserviceaccount.com
viene creato quando l'account BigQuery sia attivata. Questo account di servizio dispone di due autorizzazioni Cloud SQL:cloudsql.instances.connect
ecloudsql.instances.get
. BigQuery utilizza queste autorizzazioni per accedere a un'istanza Cloud SQL privata tramite un percorso interno.
Per controllare l'autorizzazione che consente di utilizzare questo percorso interno, puoi concedere e di revocare le autorizzazioni IAM da e verso l'identità IAM dell'utente che Il servizio Google Cloud, ad esempio BigQuery, lo utilizza per connettersi di Cloud SQL. Per ulteriori informazioni su come concedere e revocare le autorizzazioni in BigQuery, consulta Configurare l'accesso a Cloud SQL.
Ruoli e autorizzazioni Cloud SQL con altri scenari
Cloud SQL interagisce con altri prodotti e strumenti Google Cloud. Queste interazioni richiedono inoltre ruoli e autorizzazioni specifici che possono variare da uno scenario all'altro. La documentazione di Cloud SQL fornisce informazioni informazioni su questi requisiti per ciascun caso riportato di seguito:
- Connessione a Cloud SQL da applicazioni esterne.
- Utilizzo delle chiavi di crittografia gestite dal cliente (CMEK).
- Ruoli IAM per amministrare i Controlli di servizio VPC.
- Per connetterti a un'istanza Cloud SQL da un'applicazione in esecuzione in Google Kubernetes Engine, devi creare un secret per il file della chiave JSON di un account di servizio.
Usa IAM con i progetti
Le sezioni seguenti mostrano come completare le attività di IAM di base sui progetti.
Per completare le seguenti attività, devi disporre delle autorizzazioni IAM resourcemanager.projects.getIamPolicy
e resourcemanager.projects.setIamPolicy
.
Aggiungere un membro a un criterio a livello di progetto
Per un elenco di ruoli associati a Cloud SQL, consulta Ruoli IAM.
Console
- Vai alla pagina IAM e amministrazione nella console Google Cloud.
- Nel menu a discesa del progetto nella barra in alto, seleziona il progetto a cui vuoi aggiungere un membro.
- Fai clic su Aggiungi. Viene visualizzata la finestra di dialogo Aggiungi membri e ruoli al progetto.
- Nel campo Nuovi membri, specifica il nome dell'entità a cui desideri stanno concedendo l'accesso.
- Nel menu a discesa Seleziona un ruolo, concedi il ruolo appropriato al membro. I ruoli che influiscono sulle risorse Cloud SQL sono disponibili nella sottomenu Progetto e Cloud SQL.
- Fai clic su Salva.
gcloud
Per aggiungere un criterio IAM a livello di progetto, utilizza
gcloud beta projects add-iam-policy-binding
.
Visualizza il criterio IAM per un progetto
Console
- Vai alla pagina IAM e amministrazione nella console Google Cloud.
- Nel menu a discesa del progetto nella barra superiore, seleziona il progetto che vuoi visualizzare.
- Esistono due modi per visualizzare le autorizzazioni per il progetto:
- Visualizza per Membri: visualizza la colonna Ruolo associata ai singoli membri per vedere i ruoli di ciascun membro.
- Visualizza per Ruoli: utilizza il menu a discesa associato ai singoli ruoli per vedere quali membri dispongono del ruolo.
gcloud
Per visualizzare il criterio IAM di un progetto, utilizza
gcloud beta projects get-iam-policy
Rimuovere un membro da un criterio a livello di progetto
Console
- Vai alla pagina IAM e amministrazione nella console Google Cloud.
- Nel menu a discesa del progetto nella barra superiore, seleziona il progetto da per cui vuoi rimuovere un membro.
- Assicurati di visualizzare le autorizzazioni per Membri e seleziona i membri che vuoi rimuovere.
- Fai clic su Rimuovi.
- Nella finestra dell'overlay visualizzata, fai clic su Conferma.
gcloud
Per rimuovere un criterio IAM a livello di progetto, utilizza
gcloud beta projects remove-iam-policy-binding
.
Best practice
IAM, come qualsiasi altra impostazione amministrativa, richiede che la gestione dei dati sia efficace. Prima di rendere una risorsa accessibile ad altri utenti, assicurati di sapere quali ruoli vuoi che svolgano. Nel tempo, le modifiche alla gestione dei progetti, ai pattern di utilizzo e alla proprietà dell'organizzazione possono richiedere la modifica delle impostazioni IAM nei progetti, soprattutto se gestisci Cloud SQL in un'organizzazione di grandi dimensioni o per un gruppo di utenti numeroso. Quando valuti e pianifichi le impostazioni di controllo dell'accesso, tieni presenti le seguenti best practice:
Applica il principio del privilegio minimo quando concedi l'accesso. Il principio del privilegio minimo è una linea guida per la sicurezza per concedere l'accesso alle tue risorse. Quando concedi l'accesso in base al principio del privilegio minimo, fornisci a un utente solo l'accesso di cui ha bisogno per svolgere l'attività assegnata.
Evita di concedere ruoli con autorizzazione
setIamPolicy
a persone che non conosci. La concessione dell'autorizzazionesetIamPolicy
consente a un utente di modificare le autorizzazioni e assumere il controllo dei dati. Dovresti usare i ruoli consetIamPolicy
solo quando si desidera delegare il controllo amministrativo su di oggetti e bucket.Assicurati di delegare il controllo amministrativo delle risorse. Devi assicurarti che le risorse possano ancora essere gestite Gli altri membri del team devono lasciare gruppo. Due modi comuni per raggiungere questo obiettivo sono i seguenti:
- Assegna il ruolo Amministratore Cloud SQL per il tuo progetto a un gruppo anziché a un privato.
- Assegna il ruolo Amministratore Cloud SQL per il tuo progetto ad almeno due persone.
Passaggi successivi
- Scopri di più sul controllo dell'accesso