Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni su utenti e ruoli PostgreSQL

MySQL | PostgreSQL | SQL Server

Questa pagina descrive come funziona Cloud SQL con utenti e ruoli PostgreSQL. I ruoli PostgreSQL ti consentono di controllare l'accesso e le funzionalità degli utenti che accedono a un'istanza PostgreSQL.

Per la documentazione completa sui ruoli PostgreSQL, consulta Ruoli database nella documentazione di PostgreSQL. Per informazioni su come creare e gestire gli utenti Cloud SQL, consulta Creare e gestire gli utenti.

Differenza tra utenti e ruoli

I ruoli PostgreSQL possono essere ruoli singoli o come gruppo di ruoli. Un utente è un ruolo con la possibilità di accedere (il ruolo ha il LOGIN ). Poiché tutti i ruoli creati da Cloud SQL hanno l'attributo LOGIN, Cloud SQL utilizza i termini ruolo e utente in modo intercambiabile. Tuttavia, se crei un ruolo con il client psql, il ruolo non deve necessariamente avere l'attributo LOGIN.

Tutti gli utenti PostgreSQL devono avere una password. Non puoi accedere con un utente che non ha una password.

Restrizioni e privilegi di superutente

Cloud SQL per PostgreSQL è un servizio gestito, pertanto limita l'accesso ad alcune procedure e tabelle di sistema che richiedono privilegi avanzati. In Cloud SQL, i clienti non possono creare o avere accesso a utenti con attributi super user.

Non puoi creare utenti di database con privilegi di super user. Tuttavia, può creare utenti del database con il ruolo cloudsqlsuperuser, che dispone di alcuni privilegi di super user, tra cui:

Creazione di estensioni che richiedono privilegi di super user.
Creazione di trigger di eventi.
Creazione di utenti di replica.
Creazione di pubblicazioni e sottoscrizioni di replica.
Esegui le istruzioni CREATE CAST e DROP CAST come utente del database con il ruolo cloudsqlsuperuser. Tuttavia, questo utente deve disporre del privilegio USAGE sia sui tipi di dati di origine che su quelli di destinazione. Ad esempio, un utente può creare una trasmissione che converte il tipo di dati di origine int nel tipo di dati boolean di destinazione.

Nota: Cloud SQL non supporta il metodo di conversione WITHOUT FUNCTION.
Disporre dell'accesso completo al pg_largeobject tabella del catalogo.

Utenti PostgreSQL predefiniti

Quando crei una nuova istanza Cloud SQL per PostgreSQL, lo stato predefinito L'utente amministratore postgres è stato creato, ma non la sua password. Devi impostare una password per questo utente prima di poter accedere. Puoi farlo nella console Google Cloud o utilizzando il seguente comando gcloud:

gcloud sql users set-password postgres \
--instance=INSTANCE_NAME \
--password=PASSWORD

L'utente postgres fa parte del ruolo cloudsqlsuperuser e possiede i seguenti attributi (privilegi): CREATEROLE, CREATEDB e LOGIN. Non contiene gli attributi SUPERUSER o REPLICATION.

Viene creato un utente cloudsqlimportexport predefinito con l'insieme minimo di privilegi necessari per le operazioni di importazione/esportazione di file CSV. Puoi creare i tuoi utenti per eseguire queste operazioni, ma se non lo fai, viene utilizzato l'utente cloudsqlimportexport predefinito. L'utente cloudsqlimportexport è un utente del sistema e i clienti non possono usarlo direttamente.

Utenti IAM di Cloud SQL per l'autenticazione IAM dei database

IAM è integrato con Cloud SQL in una funzionalità chiamata Autenticazione IAM dei database. Quando crei istanze utilizzando questa funzionalità, IAM gli utenti possono accedere all'istanza utilizzando il proprio nome utente IAM password. Il vantaggio dell'utilizzo dell'autenticazione IAM dei database è che puoi utilizzare le credenziali IAM esistenti di un utente quando gli concedi l'accesso a un database. Quando l'utente lascia l'organizzazione, il suo account IAM viene sospeso e il suo accesso viene rimosso automaticamente. Per scoprire di più sull'autenticazione IAM dei database, consulta Autenticazione IAM dei database Cloud SQL.

Altri utenti PostgreSQL

Puoi creare altri utenti o ruoli PostgreSQL. Tutti gli utenti che create con Cloud SQL vengono create nell'ambito di cloudsqlsuperuser e avere lo stesso insieme di attributi dell'utente postgres: CREATEROLE, CREATEDB e LOGIN. Puoi modificare gli attributi di qualsiasi utente utilizzando il metodo ALTER ROLE.

Se crei un nuovo utente con il client psql, puoi scegliere per associarlo a un ruolo diverso o assegnargli attributi diversi.

Accesso alla visualizzazione `pg_shadow` e alla tabella `pg_authid`

Puoi utilizzare la vista pg_shadow per lavorare con le proprietà dei ruoli contrassegnati come rolcanlogin nel pg_authid catalogo.

La visualizzazione pg_shadow contiene password sottoposte ad hashing e altre proprietà degli utenti (ruoli) autorizzati ad accedere a un cluster. Tabella del catalogo pg_authid contiene password con hash e altre proprietà per tutti i ruoli del database.

In Cloud SQL, i clienti non possono accedere alla vista pg_shadow o alla tabella pg_authid utilizzando i privilegi predefiniti. Tuttavia, l'accesso ai nomi dei ruoli e alle password con hash è utile in determinate situazioni, tra cui:

Configurazione di proxy o bilanciamento del carico con utenti e password esistenti
Migrazione degli utenti senza modifiche alle password
Implementazione di soluzioni personalizzate per la gestione dei criteri relativi alle password

Impostazione dei flag per la vista `pg_shadow` e la tabella `pg_authid`

Per accedere alla vista pg_shadow, imposta cloudsql.pg_shadow_select_role a un nome ruolo PostgreSQL. Per accedere alla tabella pg_authid, imposta il valore cloudsql.pg_authid_select_role a un nome ruolo PostgreSQL.

Se cloudsql.pg_shadow_select_role esiste, è di sola lettura (SELECT) l'accesso alla vista pg_shadow. Se cloudsql.pg_authid_select_role esiste, ha accesso SELECT alla tabella pg_authid.

Se uno dei due ruoli non esiste, le impostazioni non hanno alcun effetto, ma non si verificano errori. Tuttavia, viene registrato un errore quando un utente tenta di accedere alla vista o alla tabella. L'errore viene registrato nel log del database PostgreSQL: cloudsql.googleapis.com/postgres.log. Per informazioni su come visualizzare questo log, vedi Visualizzare i log delle istanze.

Assicurati che i ruoli configurati esistano e che non ci siano errori ortografici nel valore del flag cloudsql.pg_shadow_select_role o del flag cloudsql.pg_authid_select_role. Puoi anche utilizzare la funzione pg_has_role per verificare che un utente sia un di questi ruoli. Le informazioni su questa funzione sono disponibili nella Funzioni e operatori delle informazioni di sistema .

Puoi usare il flag cloudsql.pg_shadow_select_role o il metodo Flag cloudsql.pg_authid_select_role con Appartenenza al ruolo PostgreSQL per gestire l'accesso a pg_shadow o pg_authid per più utenti.

Le modifiche a entrambi i flag non richiedono il riavvio del database.

Per ulteriori informazioni sui flag supportati, consulta Configurare i flag di database.

Scegliere un formato di archiviazione delle password

Cloud SQL per PostgreSQL archivia le password utente in un formato sottoposte ad hashing. Puoi utilizzare il flag password_encryption per impostare l'algoritmo di crittografia su md5 o scram-sha-256. L'algoritmo md5 fornisce la compatibilità più ampia, mentre scram-sha-256 è più sicuro ma potrebbe incompatibili con i client precedenti.

Quando attivi l'accesso pg_shadow per esportare le proprietà dei ruoli da un'istanza Cloud SQL, ti consigliamo di utilizzare l'algoritmo più sicuro supportato dai tuoi clienti.

Nella documentazione di PostgreSQL, consulta anche:

Passaggi successivi

Creare e gestire gli utenti.
Creare e gestire i database.
Consulta la documentazione di PostgreSQL sui ruoli.
Scopri le opzioni per connetterti all'istanza.