Rôles IAM prédéfinis Cloud SQL
Cloud SQL fournit des rôles prédéfinis qui vous permettent d'accorder des autorisations précises aux membres d'un projet.
Le rôle que vous attribuez à ces membres définit les actions qu'ils peuvent entreprendre. Ces derniers peuvent être des personnes, des groupes ou des comptes de service. Vous pouvez attribuer plusieurs rôles à un même membre du projet et les modifier à tout moment (à condition que vous disposiez des autorisations nécessaires).
Les rôles généraux incluent les rôles plus précis. Par exemple, le rôle d'éditeur Cloud SQL dispose non seulement de toutes les autorisations du rôle de lecteur Cloud SQL, mais également de ses autorisations spécifiques.
De même, le rôle d'administrateur Cloud SQL inclut toutes les autorisations du rôle d'éditeur Cloud SQL ainsi que ses propres autorisations.
Les rôles de base (propriétaire, éditeur, lecteur) fournissent des autorisations pour l'ensemble des services Google Cloud. Les rôles propres à Cloud SQL n'incluent que les autorisations Cloud SQL, à l'exception des autorisations Google Cloud suivantes qui sont nécessaires pour l'utilisation générale de Google Cloud :
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.use
Le tableau ci-dessous répertorie les rôles prédéfinis qui sont disponibles pour Cloud SQL, ainsi que les autorisations Cloud SQL associées.
Nom du rôle |
Description Autorisations Cloud SQL |
---|---|
roles/owner Propriétaire |
Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs. cloudsql.* |
roles/editor Éditeur |
Accès en lecture/écriture à toutes les ressources Google Cloud et Cloud SQL (contrôle total, hormis la possibilité de modifier les autorisations). Toutes les autorisations cloudsql à l'exception de cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewer Lecteur |
Accès en lecture seule à toutes les ressources Google Cloud, y compris aux ressources Cloud SQL.cloudsql.*.export cloudsql.*.get cloudsql.*.list |
roles/cloudsql.admin Administrateur Cloud SQL |
Contrôle total sur toutes les ressources Cloud SQL.cloudsql.* recommender.cloudsqlInstanceDiskUsageTrendInsights.* recommender.cloudsqlInstanceOutOfDiskRecommendations.* recommender.cloudsqlInstancePerformanceInsights.* recommender.cloudsqlInstancePerformanceRecommendations.* recommender.cloudsqlUnderProvisionedInstanceRecommendations.* recommender.cloudsqlInstanceOomProbabilityInsights.* recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.* recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editor Éditeur Cloud SQL |
Permet de gérer les ressources Cloud SQL. Impossibilité d'afficher ou de modifier les autorisations, et de modifier les utilisateurs et les certificats SSL. Impossibilité d'importer des données, d'effectuer une restauration à partir d'une sauvegarde, ainsi que de cloner, supprimer ou promouvoir des instances. Impossibilité de démarrer ou d'arrêter des instances dupliquées. Impossibilité de supprimer des bases de données, des instances dupliquées ou des sauvegardes.cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.migrate cloudsql.instances.reencrypt cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.schemas.view
cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstanceDiskUsageTrendInsights.update recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceInsights.update recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlInstancePerformanceRecommendations.update recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.update recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceOomProbabilityInsights.update recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewer Lecteur Cloud SQL |
Accès en lecture seule à toutes les ressources Cloud SQL.cloudsql.*.export cloudsql.*.get cloudsql.*.list cloudsql.instances.listServerCas recommender.cloudsqlInstanceOutOfDiskRecommendations.get recommender.cloudsqlInstanceOutOfDiskRecommendations.list recommender.cloudsqlInstanceDiskUsageTrendInsights.get recommender.cloudsqlInstanceDiskUsageTrendInsights.list recommender.cloudsqlInstancePerformanceInsights.get recommender.cloudsqlInstancePerformanceInsights.list recommender.cloudsqlInstancePerformanceRecommendations.get recommender.cloudsqlInstancePerformanceRecommendations.list recommender.cloudsqlUnderProvisionedInstanceRecommendations.get recommender.cloudsqlUnderProvisionedInstanceRecommendations.list recommender.cloudsqlInstanceOomProbabilityInsights.get recommender.cloudsqlInstanceOomProbabilityInsights.list recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.client Client Cloud SQL |
Accès connecté aux instances Cloud SQL à partir d'App Engine et du proxy d'authentification Cloud SQL. Ce rôle n'est pas requis pour accéder à une instance à l'aide d'adresses IP.cloudsql.instances.connect cloudsql.instances.get
|
roles/cloudsql.instanceUser Utilisateur d'instance Cloud SQL |
Rôle donnant accès à une instance Cloud SQLcloudsql.instances.get cloudsql.instances.login
|
roles/cloudsql.schemaViewer Lecteur de schémas Cloud SQL |
Rôle donnant accès à un schéma d'instance Cloud SQL dans Dataplexcloudsql.schemas.view
|
roles/cloudsql.studioUser Utilisateur Cloud SQL Studio |
Rôle permettant d'accéder à Cloud SQL Studiocloudsql.databases.list cloudsql.instances.executeSql cloudsql.instances.get cloudsql.instances.login cloudsql.users.list
|
Autorisations et rôles associés
Le tableau ci-dessous répertorie les autorisations disponibles pour Cloud SQL, les rôles Cloud SQL qui les incluent et le rôle de base auquel elles correspondent.
Autorisation | Rôles Cloud SQL | Ancien rôle |
---|---|---|
cloudsql.backupRuns.create |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.backupRuns.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.backupRuns.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.backupRuns.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.create |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.databases.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.databases.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.getIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.databases.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.databases.setIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.databases.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.addServerCa |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.clone |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.connect |
Administrateur Cloud SQL Client Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.demoteMaster |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.executeSql |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.export |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.failover |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.get |
Administrateur Cloud SQL Client Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.getIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.import |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.instances.listServerCas |
Lecteur Cloud SQL | Lecteur |
cloudsql.instances.promoteReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.resetSslConfig |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.reencrypt |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.restart |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.restoreBackup |
Administrateur Cloud SQL | Éditeur |
cloudsql.instance.rotateServerCa |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.setIamPolicy |
Administrateur Cloud SQL | Propriétaire |
cloudsql.instances.startReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.stopReplica |
Administrateur Cloud SQL | Éditeur |
cloudsql.instances.truncateLog |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.instances.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Éditeur |
cloudsql.schemas.view |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur de schémas Cloud SQL |
Lecteur |
cloudsql.sslCerts.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.sslCerts.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.sslCerts.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.sslCerts.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.users.create |
Administrateur Cloud SQL | Éditeur |
cloudsql.users.delete |
Administrateur Cloud SQL | Éditeur |
cloudsql.users.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Lecteur |
cloudsql.users.update |
Administrateur Cloud SQL | Éditeur |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.get
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.list
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceInsights.update
|
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Administrateur Cloud SQL Éditeur Cloud SQL Lecteur Cloud SQL |
Non disponible |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Administrateur Cloud SQL Éditeur Cloud SQL |
Non disponible |
Rôles personnalisés
Si les rôles prédéfinis ne répondent pas à vos besoins métier spécifiques, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM.
Lorsque vous créez des rôles personnalisés pour Cloud SQL, veillez à inclure à la fois cloudsql.instances.list
et cloudsql.instances.get
lorsque vous spécifiez l'une de ces deux autorisations. Sinon, la console Google Cloud ne fonctionne pas correctement pour Cloud SQL.