IAM 驗證

Google Cloud 提供「身分與存取權管理」(IAM) 功能,可讓您授予特定 Google Cloud 資源的存取權,並避免其他資源遭到未經授權者擅自存取。本頁說明 Cloud SQL 如何與 IAM 整合。如需 Google Cloud IAM 的詳細說明,請參閱 IAM 說明文件

Cloud SQL 提供一組預先定義的角色,可協助您控管 Cloud SQL 資源的存取權。如果預先定義的角色未提供您需要的權限集,您也可以建立自己的自訂角色。此外,您仍可使用舊版基本角色 (編輯者、檢視者與擁有者),但這些角色無法提供與 Cloud SQL 角色相同的完善控管能力。尤其基本角色提供的是跨 Google Cloud的資源存取權,而非僅限於 Cloud SQL。如要進一步瞭解基本 Google Cloud 角色,請參閱基本角色

您可以在資源階層的任何層級設定 IAM 政策:機構層級、資料夾層級或專案層級。資源會繼承所有父項資源的政策。

Cloud SQL 的 IAM 參考資料

IAM 驗證概念

使用 IAM 驗證時,您無法將特定資源 (Cloud SQL 執行個體) 的存取權「直接」授予使用者,而是將不同權限的角色授予「主體」詳情請參閱 IAM 總覽

IAM 政策涉及下列實體:

  • 主體。 在 Cloud SQL 中,您可以使用兩種主體:使用者帳戶服務帳戶 (適用於應用程式)。詳情請參閱與身分有關的概念
  • 角色:角色是一組權限。您可以將角色授予主體,提供完成特定工作所需的權限。如要進一步瞭解 IAM 角色,請參閱「角色」。
  • 資源。主體存取的資源是 Cloud SQL 執行個體。根據預設,IAM 政策繫結是在專案層級套用,因此主體會取得專案中所有 Cloud SQL 執行個體的角色權限。