IAM 身份验证

Google Cloud 提供 Identity and Access Management (IAM)，可让您授予对特定 Google Cloud 资源的访问权限，并防止对其他资源进行未经授权的访问。本页面介绍了 Cloud SQL 如何与 IAM 集成。 如需详细了解 Google Cloud IAM，请参阅 IAM 文档。

Cloud SQL 提供了一组预定义角色，旨在帮助您控制对 Cloud SQL 资源的访问权限。如果预定义角色无法提供您所需的权限集，您还可以创建自己的自定义角色。此外，旧版基本角色（Editor、Viewer、Owner）仍可供您使用，但这些角色提供的控制不如 Cloud SQL 角色那样精细。具体而言，基本角色提供的是对整个 Google Cloud资源的访问权限，而不仅仅是对 Cloud SQL 的访问权限。如需详细了解 Google Cloud 基本角色，请参阅基本角色。

您可以在资源层次结构中的任一层级设置 IAM 政策：组织级、文件夹级或项目级。资源会继承其所有父级资源的政策。

适用于 Cloud SQL 的 IAM 参考文档

• Google Cloud 控制台中常见任务所需的权限
• gcloud sql 命令所需的权限
• Cloud SQL Admin API 方法所需的权限
• 预定义 Cloud SQL IAM 角色
• 权限及其对应的角色
• 自定义角色

IAM 身份验证概念

使用 IAM 身份验证时，不会直接向最终用户授予资源（Cloud SQL 实例）访问权限。而是将权限分组为多个角色，然后将这些角色授予主账号。如需了解详情，请参阅 IAM 概览。

IAM 政策涉及以下实体：

• 主账号。 在 Cloud SQL 中，您可以使用两种类型的主账号：用户账号和服务账号（用于应用）。 如需了解详情，请参阅与身份相关的概念。
• 角色。角色是一组权限的集合。您可以向主账号授予角色，以便为他们提供完成特定任务所需的权限。如需详细了解 IAM 角色，请参阅角色。
• 资源。主账号有权访问的资源是 Cloud SQL 实例。默认情况下，IAM 政策绑定在项目级层应用，以便主账号获得项目中所有 Cloud SQL 实例的角色权限。