Authentification IAM

Google Cloud propose Identity and Access Management (IAM), qui vous permet de définir de manière plus précise l'accès à des ressources Google Cloud spécifiques et d'empêcher tout accès indésirable à d'autres ressources. Cette page décrit comment Cloud SQL est intégré à IAM. Pour obtenir une description détaillée de Google Cloud IAM, consultez la documentation IAM.

Le service Cloud SQL propose un ensemble de rôles prédéfinis conçus pour vous aider à contrôler l'accès aux ressources qu'il fournit. Si ces rôles ne vous attribuent pas les autorisations dont vous avez besoin, vous pouvez également créer des rôles personnalisés. En outre, les anciens rôles de base (éditeur, lecteur et propriétaire) restent disponibles, même s'ils ne permettent pas un contrôle aussi précis que les rôles Cloud SQL. Vous pouvez les utiliser spécifiquement pour accéder à l'ensemble des ressources Google Cloud, et pas uniquement aux ressources Cloud SQL. Pour en savoir plus sur les rôles Google Cloud de base, consultez la section Rôles de base.

Vous pouvez définir une stratégie IAM à n'importe quel niveau de la hiérarchie des ressources : au niveau de l'organisation, du dossier ou du projet. Les ressources héritent des stratégies de toutes leurs ressources parentes.

Documentations de référence IAM pour Cloud SQL

• Autorisations requises pour effectuer des tâches courantes dans la console Google Cloud
• Autorisations requises pour les commandes gcloud sql.
• Autorisations requises pour les méthodes de l'API Cloud SQL Admin
• Rôles IAM prédéfinis Cloud SQL
• Autorisations et rôles associés
• Rôles personnalisés

Concepts d'authentification IAM

Lorsque vous utilisez l'authentification IAM, l'autorisation d'accéder à une ressource (une instance Cloud SQL) n'est pas accordée directement à l'utilisateur final. À la place, les autorisations sont regroupées dans des rôles, et les rôles sont attribués à des comptes principaux. Pour en savoir plus, consultez la présentation d'IAM.

Les administrateurs comptant des utilisateurs qui se connectent via l'authentification IAM pour les bases de données peuvent utiliser IAM pour gérer de manière centralisée le contrôle des accès à leurs instances à l'aide de stratégies IAM. Les stratégies IAM impliquent les entités suivantes :

• Comptes principaux. Pour en savoir plus, consultez la page Concepts liés à l'identité.
• Rôles Pour l'authentification IAM pour les bases de données, un utilisateur a besoin de l'autorisation cloudsql.instances.login pour se connecter à une instance. Pour obtenir cette autorisation, vous devez lier l'utilisateur ou le compte de service au rôle prédéfini "Utilisateur de l'instance Cloud SQL" ou à un rôle personnalisé qui regroupe cette autorisation. Pour en savoir plus sur les rôles IAM, consultez la page Rôles.
• Ressource Les ressources auxquelles les comptes principaux accèdent sont des instances Cloud SQL. Par défaut, des liaisons de stratégie IAM sont appliquées au niveau du projet, de sorte que les comptes principaux reçoivent des autorisations de rôle pour toutes les instances Cloud SQL du projet.