Papéis predefinidos do Cloud SQL IAM
Com o Cloud SQL, alguns papéis predefinidos são usados para fornecer permissões específicas aos membros do projeto.
As ações realizadas por um deles são controladas pelo papel concedido a ele. Os membros do projeto podem ser indivíduos, grupos ou contas de serviço. Conceda diversos papéis ao mesmo membro e altere os papéis concedidos a um membro do projeto a qualquer momento, desde que você tenha permissões para isso.
Os papéis mais amplos incluem os definidos de maneira mais restrita. Por exemplo, no Cloud SQL, o papel de Editor inclui todas as permissões do papel de Leitor e mais as permissões de adição do papel de Editor.
Da mesma forma, todas as permissões do papel de editor com as permissões adicionais dele são incluídas pelo papel de administrador.
Os papéis básicos, como Proprietário, Editor e leitor, fornecem permissões no Google Cloud. Os papéis específicos do Cloud SQL fornecem somente permissões do Cloud SQL, exceto as seguintes permissões do Google Cloud, que são necessárias para o uso geral dele:
resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.use
A tabela a seguir lista os papéis predefinidos disponíveis para o Cloud SQL e as permissões do serviço:
| Nome do papel |
Descrição das permissões do Cloud SQL |
|---|---|
roles/ownerProprietário |
Controle e acesso total a todos os recursos do Google Cloud, gerenciar acesso do
usuário. cloudsql.* |
roles/editorEditor |
Acesso de leitura e gravação a todos os recursos do Google Cloud e do Cloud SQL (controle
total, exceto pela capacidade de modificar permissões). Todas as permissões cloudsql, exceto cloudsql.*.getIamPolicy
cloudsql.*.setIamPolicy |
roles/viewerLeitor |
Acesso somente leitura a todos os recursos do Google Cloud, incluindo recursos do
Cloud SQL.cloudsql.*.exportcloudsql.*.getcloudsql.*.list |
roles/cloudsql.adminAdministrador do Cloud SQL |
Controle total de todos os recursos do Cloud SQL.cloudsql.*recommender.cloudsqlInstanceDiskUsageTrendInsights.*recommender.cloudsqlInstanceOutOfDiskRecommendations.*recommender.cloudsqlInstancePerformanceInsights.*recommender.cloudsqlInstancePerformanceRecommendations.*recommender.cloudsqlUnderProvisionedInstanceRecommendations.*recommender.cloudsqlInstanceOomProbabilityInsights.*recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.*recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.*
|
roles/cloudsql.editorEditor do Cloud SQL |
Gerenciar recursos do Cloud SQL. Sem capacidade de ver ou modificar permissões,
nem modificar usuários ou certificados SSL. Sem capacidade de importar dados, restaurar a partir de um
backup, clonar, excluir ou promover instâncias. Sem capacidade de iniciar ou
interromper réplicas. Sem capacidade de excluir bancos de dados, réplicas ou backups.cloudsql.instances.addServerCacloudsql.instances.connectcloudsql.instances.exportcloudsql.instances.failovercloudsql.instances.getcloudsql.instances.listcloudsql.instances.listServerCascloudsql.instances.migratecloudsql.instances.reencryptcloudsql.instances.restartcloudsql.instances.rotateServerCacloudsql.instances.truncateLogcloudsql.instances.updatecloudsql.databases.createcloudsql.databases.getcloudsql.databases.listcloudsql.databases.updatecloudsql.backupRuns.createcloudsql.backupRuns.getcloudsql.backupRuns.listcloudsql.schemas.view
cloudsql.sslCerts.getcloudsql.sslCerts.listcloudsql.users.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.updaterecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceOutOfDiskRecommendations.update
recommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceInsights.updaterecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlInstancePerformanceRecommendations.updaterecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.updaterecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceOomProbabilityInsights.updaterecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.updaterecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update
|
roles/cloudsql.viewerLeitor do Cloud SQL |
Acesso somente leitura a todos os recursos do Cloud SQL.cloudsql.*.exportcloudsql.*.getcloudsql.*.listcloudsql.instances.listServerCasrecommender.cloudsqlInstanceOutOfDiskRecommendations.getrecommender.cloudsqlInstanceOutOfDiskRecommendations.listrecommender.cloudsqlInstanceDiskUsageTrendInsights.getrecommender.cloudsqlInstanceDiskUsageTrendInsights.listrecommender.cloudsqlInstancePerformanceInsights.getrecommender.cloudsqlInstancePerformanceInsights.listrecommender.cloudsqlInstancePerformanceRecommendations.getrecommender.cloudsqlInstancePerformanceRecommendations.listrecommender.cloudsqlUnderProvisionedInstanceRecommendations.getrecommender.cloudsqlUnderProvisionedInstanceRecommendations.listrecommender.cloudsqlInstanceOomProbabilityInsights.getrecommender.cloudsqlInstanceOomProbabilityInsights.listrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.listrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.getrecommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list
|
roles/cloudsql.clientCliente do Cloud SQL |
Acesso de conectividade a instâncias do Cloud SQL por meio do App Engine
e do proxy de autenticação do Cloud SQL. Não é necessário para o acesso a uma instância usando endereços
IP.cloudsql.instances.connectcloudsql.instances.get
|
roles/cloudsql.instanceUserUsuário da instância do Cloud SQL |
Papel que permite acesso a uma instância do Cloud SQL.cloudsql.instances.getcloudsql.instances.login
|
roles/cloudsql.schemaViewerVisualizador de esquemas do Cloud SQL |
Papel que permite acesso a um esquema de instância do Cloud SQL no Dataplex.cloudsql.schemas.view
|
roles/cloudsql.studioUserUsuário do Cloud SQL Studio |
Papel que permite acesso ao Cloud SQL Studio.cloudsql.databases.listcloudsql.instances.executeSqlcloudsql.instances.getcloudsql.instances.logincloudsql.users.list
|
Permissões e os papéis delas
A tabela a seguir lista todas as permissões compatíveis com o Cloud SQL, os papéis do Cloud SQL que incluem a função e o papel básico dela.
| Permissão | Papéis do Cloud SQL | Papel legado |
|---|---|---|
cloudsql.backupRuns.create |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.backupRuns.delete |
Administrador do Cloud SQL | Editor |
cloudsql.backupRuns.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.backupRuns.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.databases.create |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.databases.delete |
Administrador do Cloud SQL | Editor |
cloudsql.databases.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.databases.getIamPolicy |
Administrador do Cloud SQL | Proprietário |
cloudsql.databases.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.databases.setIamPolicy |
Administrador do Cloud SQL | Proprietário |
cloudsql.databases.update |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.addServerCa |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.clone |
Administrador do Cloud SQL | Editor |
cloudsql.instances.connect |
Administrador do Cloud SQL Cliente do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.create |
Administrador do Cloud SQL | Editor |
cloudsql.instances.delete |
Administrador do Cloud SQL | Editor |
cloudsql.instances.demoteMaster |
Administrador do Cloud SQL | Editor |
cloudsql.instances.executeSql |
Administrador do Cloud SQL | Proprietário |
cloudsql.instances.export |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.instances.failover |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.get |
Administrador do Cloud SQL Cliente do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.instances.getIamPolicy |
Administrador do Cloud SQL | Proprietário |
cloudsql.instances.import |
Administrador do Cloud SQL | Editor |
cloudsql.instances.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.instances.listServerCas |
Leitor do Cloud SQL | Leitor |
cloudsql.instances.promoteReplica |
Administrador do Cloud SQL | Editor |
cloudsql.instances.resetSslConfig |
Administrador do Cloud SQL | Editor |
cloudsql.instances.reencrypt |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.restart |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.restoreBackup |
Administrador do Cloud SQL | Editor |
cloudsql.instance.rotateServerCa |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.setIamPolicy |
Administrador do Cloud SQL | Proprietário |
cloudsql.instances.startReplica |
Administrador do Cloud SQL | Editor |
cloudsql.instances.stopReplica |
Administrador do Cloud SQL | Editor |
cloudsql.instances.truncateLog |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.instances.update |
Administrador do Cloud SQL Editor do Cloud SQL |
Editor |
cloudsql.schemas.view |
Administrador do Cloud SQL Editor do Cloud SQL Visualizador de esquemas do SQL |
Leitor |
cloudsql.sslCerts.create |
Administrador do Cloud SQL | Editor |
cloudsql.sslCerts.delete |
Administrador do Cloud SQL | Editor |
cloudsql.sslCerts.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.sslCerts.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.users.create |
Administrador do Cloud SQL | Editor |
cloudsql.users.delete |
Administrador do Cloud SQL | Editor |
cloudsql.users.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
Leitor |
cloudsql.users.update |
Administrador do Cloud SQL | Editor |
recommender.cloudsqlInstanceDiskUsageTrendInsights.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceDiskUsageTrendInsights.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceDiskUsageTrendInsights.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOutOfDiskRecommendations.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOutOfDiskRecommendations.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOutOfDiskRecommendations.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceInsights.get
|
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceInsights.list
|
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceInsights.update
|
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceRecommendations.get
|
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceRecommendations.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstancePerformanceRecommendations.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOomProbabilityInsights.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOomProbabilityInsights.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceOomProbabilityInsights.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedCpuUsageInsights.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlInstanceUnderprovisionedMemoryUsageInsights.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.get |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.list |
Administrador do Cloud SQL Editor do Cloud SQL Leitor do Cloud SQL |
N/A |
recommender.cloudsqlUnderProvisionedInstanceRecommendations.update |
Administrador do Cloud SQL Editor do Cloud SQL |
N/A |
Papéis personalizados
Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina seus próprios papéis personalizados com as permissões que você especificar. Para isso, o IAM oferece papéis personalizados.
Ao criar papéis personalizados para o Cloud SQL,
se você incluir cloudsql.instances.list
ou cloudsql.instances.get, certifique-se de incluir os dois. Caso contrário,
o console do Google Cloud não vai funcionar corretamente no Cloud SQL.