PostgreSQL-Nutzer

Auf dieser Seite erfahren Sie, wie Cloud SQL mit PostgreSQL-Nutzern und -Rollen arbeitet. Mit PostgreSQL-Rollen können Sie den Zugriff und die Funktionen von Nutzern steuern, die auf eine PostgreSQL-Instanz zugreifen.

Die vollständige Dokumentation zu PostgreSQL-Rollen finden Sie unter PostgreSQL-Dokumentation. Weitere Informationen zum Erstellen und Verwalten von Cloud SQL-Nutzern finden Sie unter Nutzer erstellen und verwalten.

PostgreSQL-Rollen und -Nutzer

PostgreSQL-Rollen können eine einzelne Rolle oder eine Gruppe von Rollen darstellen. Ein Nutzer ist eine Rolle mit der Berechtigung zur Anmeldung (die Rolle hat das Attribut LOGIN). Da alle Rollen, die von Cloud SQL erstellt werden, das Attribut LOGIN enthalten, verwendet Cloud SQL die Begriffe "Rolle" und "Nutzer" synonym. Wenn Sie jedoch eine Rolle mit dem psql-Client erstellen, hat sie nicht unbedingt das Attribut LOGIN.

Alle PostgreSQL-Nutzer müssen ein Passwort haben. Sie können sich mit einem Nutzer ohne Passwort nicht anmelden.

Superuser-Einschränkungen

Da Cloud SQL for PostgreSQL ein verwalteter Dienst ist, wird der Zugriff auf bestimmte Systemprozeduren und -tabellen eingeschränkt, für die erweiterte Berechtigungen erforderlich sind. In Cloud SQL können Kunden keine Nutzer mit Superuser-Attributen erstellen oder darauf zugreifen.

PostgreSQL-Standardnutzer

Wenn Sie eine neue Cloud SQL for PostgreSQL-Instanz erstellen, wird der Standardadministrator postgres erstellt, aber nicht das zugehörige Passwort. Sie müssen ein Passwort für diesen Nutzer festlegen, bevor Sie sich anmelden können. Dies können Sie entweder in der Google Cloud Console oder mit dem folgenden gcloud-Befehl tun:

gcloud sql users set-password postgres \
--instance=INSTANCE_NAME \
--password=PASSWORD

Der postgres-Nutzer gehört zur cloudsqlsuperuser-Rolle und hat die folgenden Attribute (Berechtigungen): CREATEROLE, CREATEDB und LOGIN. Er hat nicht die Attribute SUPERUSER oder REPLICATION.

Ein cloudsqlimportexport-Standardnutzer wird mit den minimalen Berechtigungen erstellt, die für CSV-Importe- und -Exporte erforderlich sind. Sie können Ihre eigenen Nutzer erstellen, um diese Vorgänge auszuführen. Wenn Sie das nicht tun, wird der cloudsqlimportexport-Standardnutzer verwendet. Der cloudsqlimportexport-Nutzer ist ein Systemnutzer, der von Kunden nicht direkt verwendet werden kann.

Cloud SQL-IAM-Nutzer für die IAM-Datenbankauthentifizierung

IAM ist in Cloud SQL über das Feature der IAM-Datenbankauthentifizierung eingebunden. Wenn Sie Instanzen mit diesem Feature erstellen, können sich IAM-Nutzer mit ihrem IAM-Nutzernamen und -Passwort bei der Instanz anmelden. Der Vorteil der Verwendung der IAM-Datenbankauthentifizierung besteht darin, dass Sie die vorhandenen IAM-Anmeldedaten eines Nutzers verwenden können, wenn Sie ihm Zugriff auf eine Datenbank gewähren. Wenn der Nutzer die Organisation verlässt, wird sein IAM-Konto gesperrt und der Zugriff wird automatisch aufgehoben. Weitere Informationen zur IAM-Datenbankauthentifizierung erhalten Sie unter Übersicht zur IAM-Datenbankauthentifizierung.

Weitere PostgreSQL-Nutzer

Sie können weitere PostgreSQL-Nutzer oder -Rollen erstellen. Alle von Ihnen mit Cloud SQL erstellten Nutzer gehören zur Rolle cloudsqlsuperuser und haben dieselben Attribute wie der postgres-Nutzer: CREATEROLE, CREATEDB und LOGIN. Mit dem Befehl ALTER ROLE können Sie die Attribute von Nutzern ändern.

Wenn Sie einen neuen Nutzer mit dem psql-Client erstellen, können Sie ihn mit einer anderen Rolle verknüpfen oder ihm andere Attribute zuweisen.

Nächste Schritte