Google Cloud bietet mit Identity and Access Management (IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite wird die Einbindung von Cloud SQL in IAM beschrieben . Eine detaillierte Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Cloud SQL bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Cloud SQL-Ressourcen steuern können. Sie können auch eigene benutzerdefinierte Rollen erstellen, wenn die vordefinierten Rollen keine Informationen zu den benötigten Gruppen von Berechtigungen enthalten. Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) nach wie vor zur Verfügung. Sie bieten aber nicht die gleiche präzisen Steuerungsmöglichkeiten wie die Cloud SQL-Rollen. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Cloud SQL. Weitere Informationen zu einfachen Google Cloud-Rollen finden Sie unter Einfache Rollen.
Sie können eine IAM-Richtlinie auf jeder Ebene der Ressourcenhierarchie festlegen: der Organisationsebene, der Ordnerebene oder der Projektebene. Ressourcen übernehmen die Richtlinien aller ihrer übergeordneten Ressourcen.
IAM-Referenzen für Cloud SQL
- Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console
- Erforderliche Berechtigungen für
gcloud sql-Befehle - Erforderliche Berechtigungen für Cloud SQL Admin API-Methoden
- Vordefinierte Cloud SQL-IAM-Rollen
- Berechtigungen und ihre Rollen
- Benutzerdefinierte Rollen
Konzepte der IAM-Authentifizierung
Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Ressource (eine Cloud SQL-Instanz) nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.
Administratoren, bei denen sich Nutzer über die IAM-Datenbankauthentifizierung anmelden, können mit IAM die Zugriffssteuerung für ihre Instanzen zentral über IAM-Richtlinien verwalten. IAM-Richtlinien umfassen die folgenden Entitäten:
- Hauptkonten. Weitere Informationen finden Sie unter Identitätskonzepte.
- Rollen: Zur IAM-Datenbankauthentifizierung benötigt ein Hauotkonto die Berechtigung
cloudsql.instances.login, um sich bei einer Instanz anzumelden. Damit der Nutzer diese Berechtigung erhält, binden Sie ihn entweder an die vordefinierte Rolle „Cloud SQL-Instanznutzer“ oder an eine benutzerdefinierte Rolle, die die Berechtigung umfasst. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen. - Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Cloud SQL-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Cloud SQL-Instanzen im Projekt erhalten.