Rôles IAM prédéfinis Cloud SQL
Cloud SQL fournit des rôles prédéfinis qui vous permettent d'accorder des autorisations précises aux membres d'un projet.
Le rôle que vous attribuez à ces membres définit les actions qu'ils peuvent entreprendre. Ces derniers peuvent être des individus, des groupes ou des comptes de service. Vous pouvez attribuer plusieurs rôles à un même membre du projet et les modifier à tout moment (à condition que vous disposiez des autorisations nécessaires).
Les rôles généraux incluent les rôles plus précis. Par exemple, le rôle d'éditeur Cloud SQL dispose non seulement de toutes les autorisations du rôle de lecteur Cloud SQL, mais également de ses autorisations spécifiques.
De même, le rôle d'administrateur Cloud SQL inclut toutes les autorisations du rôle d'éditeur Cloud SQL ainsi que ses propres autorisations.
Les rôles de base (propriétaire, éditeur, lecteur) fournissent des autorisations pour l'ensemble des services Google Cloud. Les rôles propres à Cloud SQL n'incluent que les autorisations Cloud SQL, à l'exception des autorisations Google Cloud suivantes qui sont nécessaires pour l'utilisation générale de Google Cloud :
resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.use
Le tableau ci-dessous répertorie les rôles prédéfinis qui sont disponibles pour Cloud SQL, ainsi que les autorisations Cloud SQL associées.
| Nom du rôle |
Description Autorisations Cloud SQL |
|---|---|
roles/ownerPropriétaire |
Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs. cloudsql.* |
roles/editorÉditeur |
Accès en lecture/écriture à toutes les ressources Google Cloud et Cloud SQL (contrôle total, hormis la possibilité de modifier les autorisations). Toutes les autorisations cloudsql à l'exception de cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewerLecteur |
Accès en lecture seule à toutes les ressources Google Cloud, y compris aux ressources Cloud SQL.cloudsql.*.exportcloudsql.*.getcloudsql.*.list |
roles/cloudsql.adminAdministrateur Cloud SQL |
Contrôle total sur toutes les ressources Cloud SQL.cloudsql.*recommender.cloudsqlInstanceDiskUsageTrendInsights.*recommender.cloudsqlInstanceOutOfDiskRecommendations.*recommender.cloudsqlInstancePerformanceInsights.*recommender.cloudsqlInstancePerformanceRecommendations.*recommender.cloudsqlUnderProvisionedInstanceRecommendations.*recommender.cloudsqlInstanceOomProbabilityInsights.*recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.*recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editorÉditeur Cloud SQL |
Permet de gérer les ressources Cloud SQL. Impossibilité d'afficher ou de modifier les autorisations, et de modifier les utilisateurs et les certificats SSL. Impossibilité d'importer des données, d'effectuer une restauration à partir d'une sauvegarde, ainsi que de cloner, supprimer ou promouvoir des instances. Impossibilité de démarrer ou d'arrêter des instances dupliquées. Impossibilité de supprimer des bases de données, des instances dupliquées ou des sauvegardes.cloudsql.instances.addServerCacloudsql.instances.connectcloudsql.instances.exportcloudsql.instances.failovercloudsql.instances.getcloudsql.instances.listcloudsql.instances.listServerCascloudsql.instances.migratecloudsql.instances.reencryptcloudsql.instances.restartcloudsql.instances.rotateServerCacloudsql.instances.truncateLogcloudsql.instances.updatecloudsql.databases.createcloudsql.databases.getcloudsql.databases.listcloudsql.databases.updatecloudsql.backupRuns.createcloudsql.backupRuns.getcloudsql.backupRuns.listcloudsql.sslCerts.getcloudsql.sslCerts.listcloudsql.users.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.updaterecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceInsights.updaterecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlInstancePerformanceRecommendations.updaterecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.updaterecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceOomProbabilityInsights.updaterecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.updaterecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewerLecteur Cloud SQL |
Accès en lecture seule à toutes les ressources Cloud SQL.cloudsql.*.exportcloudsql.*.getcloudsql.*.listcloudsql.instances.listServerCasrecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.clientClient Cloud SQL |
Accès connecté aux instances Cloud SQL à partir d'App Engine et du proxy d'authentification Cloud SQL. Ce rôle n'est pas requis pour accéder à une instance à l'aide d'adresses IP.cloudsql.instances.connectcloudsql.instances.get
|
roles/cloudsql.instanceUserUtilisateur d'instance Cloud SQL |
Rôle donnant accès à une instance Cloud SQLcloudsql.instances.getcloudsql.instances.login
|
Autorisations et rôles associés
Le tableau ci-dessous répertorie les autorisations disponibles pour Cloud SQL, les rôles Cloud SQL qui les incluent et le rôle de base auquel elles correspondent.
| Autorisation | Rôles Cloud SQL | Ancien rôle |
|---|---|---|
cloudsql.backupRuns.create |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.backupRuns.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.backupRuns.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.backupRuns.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.create |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.databases.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.databases.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.getIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.databases.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.setIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.databases.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.addServerCa |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.clone |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.connect |
Administrateur Cloud SQL Client Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.demoteMaster |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.executeSql |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.export |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.failover |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.get |
Administrateur Cloud SQL Client Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.getIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.import |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.listServerCas |
Lecteur Cloud SQL | Lecteur |
cloudsql.instances.promoteReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.resetSslConfig |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.reencrypt |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.restart |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.restoreBackup |
Administrateur Cloud SQL | Éditeur |
cloudsql.instance.rotateServerCa |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.setIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.startReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.stopReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.truncateLog |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.sslCerts.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.sslCerts.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.sslCerts.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.sslCerts.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.users.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.users.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.users.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.users.update |
Administrateur Cloud SQL | Éditeur |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.get
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.list
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.update
|
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
Rôles personnalisés
Si les rôles prédéfinis ne répondent pas à vos besoins métier spécifiques, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM.
Lorsque vous créez des rôles personnalisés pour Cloud SQL, veillez à inclure à la fois cloudsql.instances.list et cloudsql.instances.get lorsque vous spécifiez l'une de ces deux autorisations. Sinon, Google Cloud Console ne fonctionne pas correctement pour Cloud SQL.