Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的访问权限,并防止对其他资源进行不必要的访问。本页面介绍了 Cloud SQL 如何与 IAM 集成。 如需详细了解 Google Cloud IAM,请参阅 IAM 文档。
Cloud SQL 提供了一组预定义角色,旨在帮助您控制对 Cloud SQL 资源的访问权限。如果预定义角色无法提供您所需的权限集,您还可以创建自己的自定义角色。此外,旧版基本角色(Editor、Viewer、Owner)仍可供您使用,但这些角色提供的控制不如 Cloud SQL 角色那样精细。具体而言,基本角色提供的是对整个 Google Cloud 资源的访问权限,而不仅仅是对 Cloud SQL 的访问权限。如需详细了解基本 Google Cloud 角色,请参阅基本角色。
您可以在资源层次结构中的任一层级设置 IAM 政策:组织级、文件夹级或项目级。资源会继承其所有父级资源的政策。
适用于 Cloud SQL 的 IAM 参考文档
- Google Cloud 控制台中常见任务所需的权限
gcloud sql
命令所需的权限- Cloud SQL Admin API 方法所需的权限
- 预定义 Cloud SQL IAM 角色
- 权限及其对应的角色
- 自定义角色
IAM 身份验证概念
使用 IAM 身份验证时,不会直接向最终用户授予资源(Cloud SQL 实例)访问权限。而是将权限分组为多个角色,然后将这些角色授予主账号。如需了解详情,请参阅 IAM 概览。
让用户通过 IAM 数据库身份验证登录的管理员可以使用 IAM 通过 IAM 政策集中管理其实例的访问权限控制。IAM 政策涉及以下实体:
- 主账号。 如需了解详情,请参阅与身份相关的概念。
- 角色。对于 IAM 数据库身份验证,主账号需要
cloudsql.instances.login
权限才能登录实例。如需获取此权限,您可以绑定到预定义的 Cloud SQL Instance User 角色或绑定了该权限的自定义角色。如需详细了解 IAM 角色,请参阅角色。 - 资源。主账号有权访问的资源是 Cloud SQL 实例。默认情况下,IAM 政策绑定在项目级层应用,以便主账号获得项目中所有 Cloud SQL 实例的角色权限。