Cloud SQL のロール

事前定義された Cloud SQL IAM ロール

Cloud SQL にはいくつかの事前定義ロールが用意され、それらを使用してプロジェクトのメンバーに対する権限付与を詳細に設定できます。

プロジェクトのメンバーにロールを付与することで、そのメンバーが実行できるアクションを制御できます。プロジェクト メンバーは、個人、グループ、サービス アカウントのいずれかです。複数のロールを同じプロジェクト メンバーに付与できます。また、実行する権限を持っている場合、プロジェクト メンバーに付与されているロールをいつでも変更できます。

広範囲な役割には、より限定的に定義された役割が含まれます。たとえば、Cloud SQL 編集者のロールには Cloud SQL 閲覧者のロールのすべての権限と、Cloud SQL 編集者のロールの追加的な権限が含まれています。

同様に、Cloud SQL 管理者のロールには、Cloud SQL 編集者のロールのすべての権限と、追加的な権限が含まれています。

基本ロール(オーナー、編集者、閲覧者)は、Google Cloud 全体に対する権限を付与します。Cloud SQL に固有のロールは、Cloud SQL の権限のみを付与します。ただし、Google Cloud の一般的な使用に必要な次の Google Cloud 権限を除きます。

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.use

次の表に、Cloud SQL で使用可能な事前定義ロールとその Cloud SQL の権限を示します。

ロール
名前
説明
Cloud SQL の権限
roles/owner
オーナー
すべての Google Cloud リソースに対する完全アクセス権と制御。ユーザー アクセスの管理。

cloudsql.*
roles/editor
編集者
すべての Google Cloud および Cloud SQL リソースへの読み取り / 書き込みアクセス権(権限を変更する能力以外のすべての制御)

以下を除くすべての cloudsql 権限
cloudsql.*.getIamPolicy cloudsql.*.setIamPolicy
roles/viewer
閲覧者
Cloud SQL リソースを含む、すべての Google Cloud リソースへの読み取り専用アクセス権

cloudsql.*.export
cloudsql.*.get
cloudsql.*.list
roles/cloudsql.admin
Cloud SQL 管理者
すべての Cloud SQL リソースに対する完全な制御

cloudsql.*
recommender.cloudsqlInstanceDiskUsageTrendInsights.
recommender.cloudsqlInstanceOutOfDiskRecommendations.*
roles/cloudsql.editor
Cloud SQL 編集者
Cloud SQL リソースの管理。表示、変更権限なし。ユーザーまたは ssl Certs の変更権限なし。バックアップからのデータのインポートまたは復元の権限なし。インスタンスのクローン作成、削除、昇格の権限なし。レプリケーションの開始または停止の権限なし。データベースの削除、レプリケーション、バックアップの権限なし。

cloudsql.instances.addServerCa
cloudsql.instances.connect
cloudsql.instances.export
cloudsql.instances.failover
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.listServerCas
cloudsql.instances.restart
cloudsql.instances.rotateServerCa
cloudsql.instances.truncateLog
cloudsql.instances.update
cloudsql.databases.create
cloudsql.databases.get
cloudsql.databases.list
cloudsql.databases.update
cloudsql.backupRuns.create
cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
recommender.cloudsqlInstanceDiskUsageTrendInsights.get
recommender.cloudsqlInstanceDiskUsageTrendInsights.list
recommender.cloudsqlInstanceDiskUsageTrendInsights.update
recommender.cloudsqlInstanceOutOfDiskRecommendations.get
recommender.cloudsqlInstanceOutOfDiskRecommendations.list
recommender.cloudsqlInstanceOutOfDiskRecommendations.update
roles/cloudsql.viewer
Cloud SQL 閲覧者
すべての Cloud SQL リソースに対する読み取り専用アクセス権。

cloudsql.*.export
cloudsql.*.get
cloudsql.*.list
cloudsql.instances.listServerCa
recommender.cloudsqlInstanceOutOfDiskRecommendations.get
recommender.cloudsqlInstanceOutOfDiskRecommendations.list
recommender.cloudsqlInstanceDiskUsageTrendInsights.get
recommender.cloudsqlInstanceDiskUsageTrendInsights.list
roles/cloudsql.client
Cloud SQL クライアント
App Engine と Cloud SQL Auth Proxy から Cloud SQL インスタンスへの接続アクセス権。IP アドレスを使用してインスタンスにアクセスする必要なし。

cloudsql.instances.connect
cloudsql.instances.get
roles/cloudsql.instanceUser
Cloud SQL インスタンス ユーザー
Cloud SQL インスタンスへのアクセスを許可するロール。

cloudsql.instances.get
cloudsql.instances.login

権限とそのロール

次の表に、Cloud SQL がサポートしている各権限と、それを含む Cloud SQL のロール、その基本ロールを示します。

権限 Cloud SQL のロール 以前のロール
cloudsql.backupRuns.create Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.backupRuns.delete Cloud SQL 管理者 編集者
cloudsql.backupRuns.get Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.backupRuns.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.databases.create Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.databases.delete Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.databases.get Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.databases.getIamPolicy Cloud SQL 管理者 オーナー
cloudsql.databases.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.databases.setIamPolicy Cloud SQL 管理者 オーナー
cloudsql.databases.update Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instance.addServerCa Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instances.clone Cloud SQL 管理者 編集者
cloudsql.instances.connect Cloud SQL 管理者
Cloud SQL クライアント
Cloud SQL 編集者
編集者
cloudsql.instances.create Cloud SQL 管理者 編集者
cloudsql.instances.delete Cloud SQL 管理者 編集者
cloudsql.instances.demoteMaster Cloud SQL 管理者 編集者
cloudsql.instances.export Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.instances.failover Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instances.get Cloud SQL 管理者
Cloud SQL クライアント
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.instances.getIamPolicy Cloud SQL 管理者 オーナー
cloudsql.instances.import Cloud SQL 管理者 編集者
cloudsql.instances.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.instances.listServerCa Cloud SQL 閲覧者 閲覧者
cloudsql.instances.promoteReplica Cloud SQL 管理者 編集者
cloudsql.instances.resetSslConfig Cloud SQL 管理者 編集者
cloudsql.instances.restart Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instances.restoreBackup Cloud SQL 管理者 編集者
cloudsql.instance.rotateServerCa Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instances.setIamPolicy Cloud SQL 管理者 オーナー
cloudsql.instances.startReplica Cloud SQL 管理者 編集者
cloudsql.instances.stopReplica Cloud SQL 管理者 編集者
cloudsql.instances.truncateLog Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instances.update Cloud SQL 管理者
Cloud SQL 編集者
編集者
cloudsql.instanceUser Cloud SQL インスタンス ユーザー なし
cloudsql.sslCerts.create Cloud SQL 管理者 編集者
cloudsql.sslCerts.delete Cloud SQL 管理者 編集者
cloudsql.sslCerts.get Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.sslCerts.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.users.create Cloud SQL 管理者 編集者
cloudsql.users.delete Cloud SQL 管理者 編集者
cloudsql.users.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
閲覧者
cloudsql.users.update Cloud SQL 管理者 編集者
recommender.cloudsqlInstanceDiskUsageTrendInsights.get Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
なし
recommender.cloudsqlInstanceDiskUsageTrendInsights.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
なし
recommender.cloudsqlInstanceDiskUsageTrendInsights.update Cloud SQL 管理者
Cloud SQL 編集者
なし
recommender.cloudsqlInstanceOutOfDiskRecommendations.get Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
なし
recommender.cloudsqlInstanceOutOfDiskRecommendations.list Cloud SQL 管理者
Cloud SQL 編集者
Cloud SQL 閲覧者
なし
recommender.cloudsqlInstanceOutOfDiskRecommendations.update Cloud SQL 管理者
Cloud SQL 編集者
なし

カスタムロール

事前定義された役割がお客様特有のビジネス要件に合っていない場合は、任意に指定した権限を含むカスタムの役割を独自に定義できます。これをサポートするため、IAM にはカスタムの役割が用意されています。

Cloud SQL 用にカスタムロールを作成するとき、cloudsql.instances.listcloudsql.instances.get のどちらか一方を含める場合は必ずその両方を含めてください。そうしないと、Google Cloud Console が Cloud SQL に対して正しく機能しません。