Rollen und Berechtigungen in Cloud SQL

Auf dieser Seite finden Sie Informationen zu IAM-Rollen und -Berechtigungen (Identity and Access Management) sowie dazu, wie sie beim Herstellen einer Verbindung zu einer Cloud SQL-Instanz verwendet werden.

Einführung

Die Zugriffssteuerung für die Google Cloud APIs umfasst Authentifizierung, Autorisierung und Auditing. Mit der Authentifizierung wird festgestellt, wer Sie sind. Anwendungsentwickler verwenden zur Authentifizierung in Google Cloud IAM-Dienst- und -Nutzerkonten. Konten nutzen Rollen, zu denen Berechtigungen gehören. Eine vollständige Liste aller in Cloud SQL verfügbaren Rollen und Berechtigungen finden Sie unter Projektzugriffssteuerung.

Wenn Sie ein Konto verwenden, um eine Verbindung zu einer Cloud SQL-Instanz herzustellen, muss das Konto die Rolle Cloud SQL > Client (roles/cloudsql.client) haben, die die Berechtigungen enthält, die für die Verbindung erforderlich sind.

Auf der Seite IAM & Verwaltung > IAM können Sie einem Konto in der Console Rollen hinzufügen. Auf der Seite IAM & Verwaltung > Rollen können Sie dann prüfen, welche Berechtigungen zu welchen Rollen gehören.

Cloud SQL verwendet Dienstkonten für die Authentifizierung zwischen Cloud SQL und anderen Google Cloud-Produkten. Dienstkonten stellen credentials im JSON-Format bereit, die Sie über die Console herunterladen und in verschiedenen Szenarien zur Authentifizierung verwenden können. Ein Beispiel ist das Herstellen einer Verbindung über eine Anwendung, die in einem Docker-Container ausgeführt wird.

Cloud SQL-Rollen und -Berechtigungen mit Cloud SQL-Proxy

Wenn Sie mit dem Cloud SQL-Proxy eine Verbindung zu einer Cloud SQL-Instanz von einer Compute Engine-Instanz herstellen, können Sie das Compute Engine-Standarddienstkonto verwenden, das der Compute Engine-Instanz zugeordnet ist.

Wie bei allen Konten, die eine Verbindung zu einer Cloud SQL-Instanz herstellen, muss das Dienstkonto die Rolle Cloud SQL > Client haben.

Cloud SQL-Rollen und -Berechtigungen mit serverlosen Optionen

Zu den serverlosen Optionen von Google Cloud gehören App Engine, Cloud Functions und Cloud Run.

Mit einem Dienstkonto autorisieren Sie den Zugriff von diesen Modulen. Das Dienstkonto autorisiert dabei den Zugriff auf Cloud SQL in einem bestimmten Projekt. Wenn Sie eine Anwendung oder eine Cloud Functions-Funktion erstellen, legt dieser Dienst das Konto für Sie an. Sie finden das Konto auf der Seite IAM & Verwaltung > IAM mit dem entsprechenden Suffix:

Serverlose Option Suffix des Dienstkontos
App Engine @gae-api-prod.google.com.iam.gserviceaccount.com
Cloud Functions @gcf-admin-robot.iam.gserviceaccount.com
Cloud Run compute@developer.gserviceaccount.com

Wie bei allen Konten, die eine Verbindung zu einer Cloud SQL-Instanz herstellen, muss das Dienstkonto die Rolle Cloud SQL > Client haben.

Cloud SQL-Rollen und -Berechtigungen mit Cloud Storage

Die Import- und Export-Features in Cloud SQL werden kombiniert angewendet. Die Export-Features schreiben in Cloud Storage und die Import-Features lesen daraus. Daher benötigt das Dienstkonto, das Sie für diese Vorgänge verwenden, sowohl Lese- als auch Schreibberechtigungen für Cloud Storage:

  • Zum Importieren von Daten in bzw. Exportieren von Daten aus Cloud Storage muss für das Dienstkonto der Cloud SQL-Instanz im betreffenden Projekt die IAM-Rolle storage.objectAdmin festgelegt sein. Sie finden den Dienstkontonamen der Instanz in der Google Cloud Console auf der Seite Übersicht Ihrer Instanz.
  • Mit dem Befehl gsutil iam können Sie diese IAM-Rolle dem Dienstkonto für den Bucket zuweisen.
  • Informationen zum Festlegen von IAM-Rollen und -Berechtigungen finden Sie unter IAM-Berechtigungen verwenden.
  • Weitere Informationen finden Sie unter IAM für Cloud Storage.

Cloud SQL-Rollen und -Berechtigungen in anderen Szenarien

Cloud SQL interagiert auch mit anderen Google Cloud-Produkten und -Tools. Dabei sind ebenso bestimmte Rollen und Berechtigungen erforderlich, die je nach Szenario variieren können. Die Cloud SQL-Dokumentation enthält detaillierte Informationen zu diesen Anforderungen für die folgenden Fälle:

Nächste Schritte