Informationen zu PostgreSQL-Nutzern und -Rollen

Auf dieser Seite erfahren Sie, wie Cloud SQL mit PostgreSQL-Nutzern und -Rollen arbeitet. Mit PostgreSQL-Rollen können Sie den Zugriff und die Funktionen von Nutzern steuern, die auf eine PostgreSQL-Instanz zugreifen.

Die vollständige Dokumentation zu PostgreSQL-Rollen finden Sie unter Datenbankrollen in der PostgreSQL-Dokumentation. Informationen zum Erstellen und Verwalten von Cloud SQL-Nutzern finden Sie unter Nutzer erstellen und verwalten.

Unterschied zwischen Nutzern und Rollen

PostgreSQL-Rollen können eine einzelne Rolle oder eine Gruppe von Rollen darstellen. Ein Nutzer ist eine Rolle mit der Berechtigung zur Anmeldung (die Rolle hat das Attribut LOGIN). Da alle Rollen, die von Cloud SQL erstellt werden, das Attribut LOGIN enthalten, verwendet Cloud SQL die Begriffe Rolle und Nutzer synonym. Wenn Sie jedoch eine Rolle mit dem psql-Client erstellen, hat die Rolle nicht unbedingt das Attribut LOGIN.

Alle PostgreSQL-Nutzer müssen ein Passwort haben. Sie können sich nicht mit einem Nutzer anmelden, der kein Passwort hat.

Superuser-Einschränkungen

Cloud SQL for PostgreSQL ist ein verwalteter Dienst, daher wird der Zugriff auf bestimmte Systemprozeduren und -tabellen eingeschränkt, für die erweiterte Berechtigungen erforderlich sind. In Cloud SQL können Kunden keine Nutzer mit Superuser-Attributen erstellen oder darauf zugreifen.

Sie können keine Datenbanknutzer mit Superuser-Berechtigungen erstellen. Sie können jedoch Datenbanknutzer mit der Rolle cloudsqlsuperuser erstellen, die einige dieser Superuser-Berechtigungen hat, darunter:

• Erweiterungen erstellen, die Superuser-Berechtigungen erfordern
• Ereignistrigger erstellen
• Replikationsnutzer erstellen
• Replikationspublikationen und -abos erstellen
• Vollständiger Zugriff auf die Katalogtabelle pg_largeobject

PostgreSQL-Standardnutzer

Wenn Sie eine neue Cloud SQL for PostgreSQL-Instanz erstellen, wird der Standardadministrator postgres erstellt, aber nicht das zugehörige Passwort. Sie müssen ein Passwort für diesen Nutzer festlegen, bevor Sie sich anmelden können. Dies können Sie entweder in der Google Cloud Console oder mit dem folgenden gcloud-Befehl tun:

gcloud sql users set-password postgres \
--instance=INSTANCE_NAME \
--password=PASSWORD

Der postgres-Nutzer gehört zur cloudsqlsuperuser-Rolle und hat die folgenden Attribute (Berechtigungen): CREATEROLE, CREATEDB und LOGIN. Er hat nicht die Attribute SUPERUSER oder REPLICATION.

Ein cloudsqlimportexport-Standardnutzer wird mit den minimalen Berechtigungen erstellt, die für CSV-Importe- und -Exporte erforderlich sind. Sie können Ihre eigenen Nutzer erstellen, um diese Vorgänge auszuführen. Wenn Sie das nicht tun, wird der cloudsqlimportexport-Standardnutzer verwendet. Der cloudsqlimportexport-Nutzer ist ein Systemnutzer, der von Kunden nicht direkt verwendet werden kann.

Cloud SQL-IAM-Nutzer für die IAM-Datenbankauthentifizierung

IAM ist in Cloud SQL über das Feature der IAM-Datenbankauthentifizierung eingebunden. Wenn Sie Instanzen mit diesem Feature erstellen, können sich IAM-Nutzer mit ihrem IAM-Nutzernamen und -Passwort bei der Instanz anmelden. Der Vorteil der Verwendung der IAM-Datenbankauthentifizierung besteht darin, dass Sie die vorhandenen IAM-Anmeldedaten eines Nutzers verwenden können, wenn Sie ihm Zugriff auf eine Datenbank gewähren. Wenn der Nutzer die Organisation verlässt, wird sein IAM-Konto gesperrt und der Zugriff wird automatisch aufgehoben. Weitere Informationen zur IAM-Datenbankauthentifizierung finden Sie unter Cloud SQL-IAM-Datenbankauthentifizierung.

Weitere PostgreSQL-Nutzer

Sie können weitere PostgreSQL-Nutzer oder -Rollen erstellen. Alle von Ihnen mit Cloud SQL erstellten Nutzer gehören zur Rolle cloudsqlsuperuser und haben dieselben Attribute wie der postgres-Nutzer: CREATEROLE, CREATEDB und LOGIN. Mit dem Befehl ALTER ROLE können Sie die Attribute von Nutzern ändern.

Wenn Sie einen neuen Nutzer mit dem psql-Client erstellen, können Sie ihn mit einer anderen Rolle verknüpfen oder ihm andere Attribute zuweisen.

Zugriff auf die Ansicht pg_shadow und die Tabelle pg_authid

Durch Verwendung der Ansicht pg_shadow können Sie mit den Attributen von Rollen arbeiten, die in der Katalogtabelle pg_authid als rolcanlogin markiert sind.

Die Ansicht pg_shadow enthält gehashte Passwörter und andere Attribute der Rollen (Nutzer), die sich bei einem Cluster anmelden dürfen. Die Katalogtabelle pg_authid enthält gehashte Passwörter und andere Attribute für alle Datenbankrollen.

In Cloud SQL können Kunden nicht mit den Standardberechtigungen auf die Ansicht pg_shadow oder die Tabelle pg_authid zugreifen. Der Zugriff auf Rollennamen und gehashte Passwörter ist jedoch in bestimmten Situationen nützlich, darunter:

• Proxys oder Load-Balancing mit vorhandenen Nutzern und Passwörtern einrichten
• Nutzer ohne Änderungen von Passwörtern migrieren
• Benutzerdefinierte Lösungen für die Passwortrichtlinienverwaltung implementieren

Flags für die Ansicht pg_shadow und die Tabelle pg_authid festlegen

Für den Zugriff auf die Ansicht pg_shadow legen Sie für das Flag cloudsql.pg_shadow_select_role einen PostgreSQL-Rollennamen fest. Für den Zugriff auf die Tabelle pg_authid legen Sie für das Flag cloudsql.pg_authid_select_role einen PostgreSQL-Rollennamen fest.

Wenn cloudsql.pg_shadow_select_role vorhanden ist, dann hat es schreibgeschützt (SELECT )-Zugriff auf die pg_shadow-Ansicht: Wenn cloudsql.pg_authid_select_role vorhanden ist, hat es SELECT-Zugriff auf die Tabelle pg_authid.

Ist keine der beiden Rollen vorhanden, haben die Einstellungen keine Auswirkungen, es tritt jedoch kein Fehler auf. Es wird jedoch ein Fehler protokolliert, wenn ein Nutzer versucht, auf die Ansicht oder die Tabelle zuzugreifen. Der Fehler wird im PostgreSQL-Datenbanklog erfasst: cloudsql.googleapis.com/postgres.log. Informationen zum Aufrufen dieses Logs finden Sie unter Instanzlogs ansehen.

Achten Sie darauf, dass die konfigurierten Rollen vorhanden sind und im Wert des Flags cloudsql.pg_shadow_select_role oder cloudsql.pg_authid_select_role kein Tippfehler besteht. Sie können auch die Funktion pg_has_role verwenden, um zu prüfen, ob ein Nutzer Mitglied dieser Rollen ist. Informationen zu dieser Funktion finden Sie auf der Seite Systeminformationsfunktionen und Operatoren.

Sie können das Flag cloudsql.pg_shadow_select_role oder cloudsql.pg_authid_select_role mit der PostgreSQL-Rollenmitgliedschaft verwenden, um den Zugriff von pg_shadow oder pg_authid für mehrere Nutzer zu verwalten.

Für Änderungen an einem der Flags ist kein Neustart der Datenbank erforderlich.

Weitere Informationen zu unterstützten Flags finden Sie unter Datenbank-Flags konfigurieren.

Format für die Passwortspeicherung auswählen

Cloud SQL for PostgreSQL speichert Nutzerpasswörter in einem Hash-Format. Mit dem Flag password_encryption können Sie den Verschlüsselungsalgorithmus auf md5 oder scram-sha-256 festlegen. Der md5-Algorithmus bietet die größtmögliche Kompatibilität. scram-sha-256 ist zwar sicherer, dafür aber möglicherweise nicht mit älteren Clients kompatibel.

Wenn Sie den pg_shadow-Zugriff zum Exportieren von Rollenattributen aus einer Cloud SQL-Instanz aktivieren, sollten Sie den sichersten Algorithmus verwenden, der von Ihren Clients unterstützt wird.

Weitere Informationen finden Sie in der PostgreSQL-Dokumentation:

• Passwortauthentifizierung
• Das Flag password_encryption

Nächste Schritte

• Nutzer erstellen und verwalten
• Datenbanken erstellen und verwalten
• Siehe PostgreSQL-Dokumentation zu Rollen
• Verbindungsoptionen für Instanzen