事前定義された Cloud SQL IAM ロール
Cloud SQL にはいくつかの事前定義ロールが用意され、それらを使用してプロジェクトのメンバーに対する権限付与を詳細に設定できます。
プロジェクトのメンバーにロールを付与することで、そのメンバーが実行できるアクションを制御できます。プロジェクト メンバーは、個人、グループ、サービス アカウントのいずれかです。複数のロールを同じプロジェクト メンバーに付与できます。また、実行する権限を持っている場合、プロジェクト メンバーに付与されているロールをいつでも変更できます。
広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Cloud SQL 編集者のロールには Cloud SQL 閲覧者のロールのすべての権限と、Cloud SQL 編集者のロールの追加的な権限が含まれています。
同様に、Cloud SQL 管理者のロールには、Cloud SQL 編集者のロールのすべての権限と、追加的な権限が含まれています。
基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。Cloud SQL に固有のロールは、Cloud SQL の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud 権限を除きます。
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.use
次の表に、Cloud SQL で使用可能な事前定義ロールとその Cloud SQL の権限を示します。
ロール 名前 |
説明 Cloud SQL の権限 |
---|---|
roles/owner オーナー |
すべての Google Cloud リソースに対する完全アクセス権と制御。ユーザー アクセスの管理。cloudsql.* |
roles/editor 編集者 |
すべての Google Cloud および Cloud SQL リソースへの読み取り / 書き込みアクセス権(権限を変更する能力以外のすべての制御) 以下を除くすべての cloudsql 権限cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewer 閲覧者 |
Cloud SQL リソースを含む、すべての Google Cloud リソースへの読み取り専用アクセス権cloudsql.*.export cloudsql.*.get cloudsql.*.list |
roles/cloudsql.admin Cloud SQL 管理者 |
すべての Cloud SQL リソースに対する完全な制御cloudsql.* recommender.cloudsqlInstanceDiskUsageTrendInsights.* recommender.cloudsqlInstanceOutOfDiskRecommendations.* recommender.cloudsqlInstancePerformanceInsights.* recommender.cloudsqlInstancePerformanceRecommendations.* recommender.cloudsqlUnderProvisionedInstanceRecommendations.* recommender.cloudsqlInstanceOomProbabilityInsights.* recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.* recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editor Cloud SQL 編集者 |
Cloud SQL リソースの管理。表示、変更権限なし。ユーザーまたは ssl Certs の変更権限なし。バックアップからのデータのインポートまたは復元の権限なし。インスタンスのクローン作成、削除、昇格の権限なし。レプリケーションの開始または停止の権限なし。データベースの削除、レプリケーション、バックアップの権限なし。cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.migrate cloudsql.instances.reencrypt cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.schemas.view
cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstanceDiskUsageTrendInsights.update recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceInsights.update recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlInstancePerformanceRecommendations.update recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.update recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceOomProbabilityInsights.update recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewer Cloud SQL 閲覧者 |
すべての Cloud SQL リソースに対する読み取り専用アクセス権。cloudsql.*.export cloudsql.*.get cloudsql.*.list cloudsql.instances.listServerCas recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.client Cloud SQL クライアント |
App Engine と Cloud SQL Auth Proxy から Cloud SQL インスタンスへの接続アクセス権。IP アドレスを使用してインスタンスにアクセスする必要なし。cloudsql.instances.connect cloudsql.instances.get
|
roles/cloudsql.instanceUser Cloud SQL インスタンス ユーザー |
Cloud SQL インスタンスへのアクセスを許可するロール。cloudsql.instances.get cloudsql.instances.login
|
roles/cloudsql.schemaViewer Cloud SQL スキーマ閲覧者 |
Dataplex の Cloud SQL インスタンス スキーマへのアクセスを許可するロール。cloudsql.schemas.view
|
権限とロール
次の表に、Cloud SQL がサポートしている各権限と、それを含む Cloud SQL のロール、その基本ロールを示します。
権限 | Cloud SQL のロール | 以前のロール |
---|---|---|
cloudsql.backupRuns.create |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.backupRuns.delete |
Cloud SQL 管理者 | 編集者 |
cloudsql.backupRuns.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.backupRuns.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.databases.create |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.databases.delete |
Cloud SQL 管理者 | 編集者 |
cloudsql.databases.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.databases.getIamPolicy |
Cloud SQL 管理者 | オーナー |
cloudsql.databases.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.databases.setIamPolicy |
Cloud SQL 管理者 | オーナー |
cloudsql.databases.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.addServerCa |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.clone |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.connect |
Cloud SQL 管理者 Cloud SQL クライアント Cloud SQL 編集者 |
編集者 |
cloudsql.instances.create |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.delete |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.demoteMaster |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.executeSql |
Cloud SQL 管理者 | オーナー |
cloudsql.instances.export |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.instances.failover |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.get |
Cloud SQL 管理者 Cloud SQL クライアント Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.instances.getIamPolicy |
Cloud SQL 管理者 | オーナー |
cloudsql.instances.import |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.instances.listServerCas |
Cloud SQL 閲覧者 | 閲覧者 |
cloudsql.instances.promoteReplica |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.resetSslConfig |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.reencrypt |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.restart |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.restoreBackup |
Cloud SQL 管理者 | 編集者 |
cloudsql.instance.rotateServerCa |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.setIamPolicy |
Cloud SQL 管理者 | オーナー |
cloudsql.instances.startReplica |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.stopReplica |
Cloud SQL 管理者 | 編集者 |
cloudsql.instances.truncateLog |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.instances.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
編集者 |
cloudsql.schemas.view |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL スキーマ閲覧者 |
閲覧者 |
cloudsql.sslCerts.create |
Cloud SQL 管理者 | 編集者 |
cloudsql.sslCerts.delete |
Cloud SQL 管理者 | 編集者 |
cloudsql.sslCerts.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.sslCerts.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.users.create |
Cloud SQL 管理者 | 編集者 |
cloudsql.users.delete |
Cloud SQL 管理者 | 編集者 |
cloudsql.users.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
閲覧者 |
cloudsql.users.update |
Cloud SQL 管理者 | 編集者 |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstancePerformanceInsights.get
|
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstancePerformanceInsights.list
|
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstancePerformanceInsights.update
|
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Cloud SQL 管理者 Cloud SQL 編集者 Cloud SQL 閲覧者 |
なし |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Cloud SQL 管理者 Cloud SQL 編集者 |
なし |
カスタムロール
事前定義ロールがお客様固有のビジネス要件に対応していない場合は、指定した権限を含むカスタムロールを独自に定義できます。これをサポートするため、IAM にはカスタムロールが用意されています。
Cloud SQL 用にカスタムロールを作成するときに、cloudsql.instances.list
と cloudsql.instances.get
のどちらかを含める場合は、必ずその両方を含めてください。そのようにしないと、Google Cloud コンソールが Cloud SQL に対して正しく機能しません。