Google Cloud 提供「身分與存取權管理」(IAM) 功能,可讓您授予特定 Google Cloud 資源的存取權,並避免其他資源遭到未經授權者擅自存取。本頁說明 Cloud SQL 如何與 IAM 整合。如需 Google Cloud IAM 的詳細說明,請參閱 IAM 說明文件。
Cloud SQL 提供一組預先定義的角色,可協助您控管 Cloud SQL 資源的存取權。如果預先定義的角色未提供您需要的權限集,您也可以建立自己的自訂角色。此外,您仍可使用舊版基本角色 (編輯者、檢視者與擁有者),但這些角色無法提供與 Cloud SQL 角色相同的完善控管能力。尤其基本角色提供的是跨 Google Cloud的資源存取權,而非僅限於 Cloud SQL。如要進一步瞭解基本 Google Cloud 角色,請參閱基本角色。
您可以在資源階層的任何層級設定 IAM 政策:機構層級、資料夾層級或專案層級。資源會繼承所有父項資源的政策。
Cloud SQL 的 IAM 參考資料
- 在 Google Cloud 控制台中執行一般工作所需的權限
gcloud sql
指令的必要權限- Cloud SQL Admin API 方法的必要權限
- 預先定義的 Cloud SQL IAM 角色
- 權限及其角色
- 自訂角色
IAM 驗證概念
使用 IAM 驗證時,您無法將特定資源 (Cloud SQL 執行個體) 的存取權「直接」授予使用者,而是將不同權限的角色授予「主體」。詳情請參閱 IAM 總覽。
IAM 政策涉及下列實體:
- 主體。 在 Cloud SQL 中,您可以使用兩種主體:使用者帳戶和服務帳戶 (適用於應用程式)。詳情請參閱與身分有關的概念。
- 角色:角色是一組權限。您可以將角色授予主體,提供完成特定工作所需的權限。如要進一步瞭解 IAM 角色,請參閱「角色」。
- 資源。主體存取的資源是 Cloud SQL 執行個體。根據預設,IAM 政策繫結是在專案層級套用,因此主體會取得專案中所有 Cloud SQL 執行個體的角色權限。