Vordefinierte Cloud SQL-IAM-Rollen
Cloud SQL bietet einige vordefinierte Rollen, die Sie verwenden können, um den Projektmitgliedern fein abgestimmte Berechtigungen zur Verfügung zu stellen.
Die Rolle, die Sie einem Projektmitglied gewähren, steuert, welche Aktionen das Mitglied vornehmen kann. Projektmitglieder können Einzelpersonen, Gruppen oder Dienstkonten sein. Sie können demselben Projektmitglied mehrere Rollen zuweisen und die einem Projektmitglied gewährten Rollen jederzeit ändern, sofern Sie selbst die Berechtigungen dazu haben.
Die Rollen mit höheren Berechtigungen beinhalten die Rollen mit niedrigeren Berechtigungen. Beispielsweise enthält die Rolle "Cloud SQL-Bearbeiter" alle Berechtigungen der Rolle "Cloud SQL-Betrachter" sowie die zusätzlichen Berechtigungen der Rolle "Cloud SQL-Bearbeiter".
Entsprechend enthält die Rolle „Cloud SQL-Administrator“ alle Berechtigungen der Rolle „Cloud SQL-Bearbeiter“ sowie zusätzliche Berechtigungen.
Die einfachen Rollen (Inhaber, Bearbeiter, Betrachter) stellen Berechtigungen in Google Cloud insgesamt bereit. Die Rollen für Cloud SQL bieten nur Cloud SQL-Berechtigungen. Dies gilt nicht für die folgenden Google Cloud-Berechtigungen, die für die allgemeine Google Cloud-Nutzung erforderlich sind:
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.use
In der folgenden Tabelle sind die vordefinierten Rollen, die für Cloud SQL benötigt werden, zusammen mit den jeweiligen Cloud SQL-Berechtigungen aufgelistet:
Rollenname |
Beschreibung Cloud SQL-Berechtigungen |
---|---|
roles/owner Inhaber |
Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs cloudsql.* |
roles/editor Bearbeiter |
Lese- und Schreibzugriff auf alle Google Cloud- und Cloud SQL-Ressourcen; vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern Alle cloudsql -Berechtigungen außer für cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewer Betrachter |
Lesezugriff auf alle Google Cloud-Ressourcen, einschließlich Cloud SQL-Ressourcencloudsql.*.export cloudsql.*.get cloudsql.*.list |
roles/cloudsql.admin Cloud SQL-Administrator |
Uneingeschränkte Kontrolle über Cloud SQL-Ressourcencloudsql.* recommender.cloudsqlInstanceDiskUsageTrendInsights.* recommender.cloudsqlInstanceOutOfDiskRecommendations.* recommender.cloudsqlInstancePerformanceInsights.* recommender.cloudsqlInstancePerformanceRecommendations.* recommender.cloudsqlUnderProvisionedInstanceRecommendations.* recommender.cloudsqlInstanceOomProbabilityInsights.* recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.* recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editor Cloud SQL-Bearbeiter |
Verwaltung von Cloud SQL-Ressourcen; Keine Möglichkeit, Berechtigungen zu sehen oder zu ändern sowie Nutzer oder sslCerts zu ändern. Weder die Berechtigung, Daten zu importieren oder von einer Sicherung wiederherzustellen, noch Instanzen zu klonen, zu löschen oder hochzustufen Keine Möglichkeit, Replikate zu starten oder zu stoppen. Keine Möglichkeit, Datenbanken, Replikate oder Sicherungen zu löschen.cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.migrate cloudsql.instances.reencrypt cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.schemas.view
cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstanceDiskUsageTrendInsights.update recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceInsights.update recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlInstancePerformanceRecommendations.update recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.update recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceOomProbabilityInsights.update recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewer Cloud SQL-Betrachter |
Schreibgeschützter Zugriff auf alle Cloud SQL-Ressourcencloudsql.*.export cloudsql.*.get cloudsql.*.list cloudsql.instances.listServerCas recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.client Cloud SQL Client |
Verbindungszugriff auf Cloud SQL-Instanzen von App Engine und dem Cloud SQL Auth-Proxy. Nicht für den Zugriff über IP-Adressen auf eine Instanz erforderlich.cloudsql.instances.connect cloudsql.instances.get
|
roles/cloudsql.instanceUser Cloud SQL-Instanznutzer |
Rolle für den Zugriff auf eine Cloud SQL-Instanz.cloudsql.instances.get cloudsql.instances.login
|
roles/cloudsql.schemaViewer Cloud SQL Schema Viewer |
Rolle, die den Zugriff auf Cloud SQL-Instanzschema in Dataplex erlaubt.cloudsql.schemas.view
|
Berechtigungen und ihre Rollen
In der folgenden Tabelle sind die Berechtigungen, die Cloud SQL unterstützt, sowie die Cloud SQL-Rollen, in denen sie enthalten sind, mit Ihrer einfachen Rolle aufgeführt.
Berechtigung | Cloud SQL-Rollen | Alte Rolle |
---|---|---|
cloudsql.backupRuns.create |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.backupRuns.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.backupRuns.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.backupRuns.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.create |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.databases.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.databases.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.getIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.databases.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.databases.setIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.databases.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.addServerCa |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.clone |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.connect |
Cloud SQL-Administrator Cloud SQL-Client Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.demoteMaster |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.executeSql |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.export |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.failover |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.get |
Cloud SQL-Administrator Cloud SQL-Client Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.getIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.import |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.instances.listServerCas |
Cloud SQL-Betrachter | Betrachter |
cloudsql.instances.promoteReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.resetSslConfig |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.reencrypt |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.restart |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.restoreBackup |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instance.rotateServerCa |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.setIamPolicy |
Cloud SQL-Administrator | Inhaber |
cloudsql.instances.startReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.stopReplica |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.instances.truncateLog |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.instances.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
Bearbeiter |
cloudsql.schemas.view |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Schema-Betrachter |
Betrachter |
cloudsql.sslCerts.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.sslCerts.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.sslCerts.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.sslCerts.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.users.create |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.users.delete |
Cloud SQL-Administrator | Bearbeiter |
cloudsql.users.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
Betrachter |
cloudsql.users.update |
Cloud SQL-Administrator | Bearbeiter |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstancePerformanceInsights.get
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceInsights.list
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceInsights.update
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Cloud SQL-Administrator Cloud SQL-Bearbeiter Cloud SQL-Betrachter |
– |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Cloud SQL-Administrator Cloud SQL-Bearbeiter |
– |
Benutzerdefinierte Rollen
Wenn die vordefinierten Rollen Ihren speziellen Geschäftsanforderungen nicht gerecht werden, können Sie eigene benutzerdefinierte Rollen mit Berechtigungen definieren, die Sie angeben. IAM bietet benutzerdefinierte Rollen an, um dies zu unterstützen.
Wenn Sie benutzerdefinierte Rollen für Cloud SQL erstellen, müssen Sie bei der Angabe von cloudsql.instances.list
oder cloudsql.instances.get
darauf achten, dass beide Berechtigungen angegeben werden. Andernfalls wird die Google Cloud Console für Cloud SQL nicht ordnungsgemäß funktionieren.