Google Cloud bietet mit Identity and Access Management (IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Auf dieser Seite wird beschrieben, wie Cloud SQL in IAM eingebunden ist. Eine detaillierte Beschreibung von Google Cloud IAM finden Sie in der IAM-Dokumentation.
Cloud SQL bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Cloud SQL-Ressourcen steuern können. Sie können auch eigene benutzerdefinierte Rollen erstellen, wenn die vordefinierten Rollen keine Informationen zu den benötigten Gruppen von Berechtigungen enthalten. Zusätzlich stehen Ihnen die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) nach wie vor zur Verfügung. Sie bieten aber nicht die gleiche präzisen Steuerungsmöglichkeiten wie die Cloud SQL-Rollen. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Cloud SQL. Weitere Informationen zu einfachen Google Cloud-Rollen finden Sie unter Einfache Rollen.
Sie können eine IAM-Richtlinie auf jeder Ebene der Ressourcenhierarchie festlegen: der Organisationsebene, der Ordnerebene oder der Projektebene. Ressourcen übernehmen die Richtlinien aller ihrer übergeordneten Ressourcen.
IAM-Referenzen für Cloud SQL
- Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console
- Erforderliche Berechtigungen für
gcloud sql
-Befehle. - Erforderliche Berechtigungen für Cloud SQL Admin API-Methoden
- Vordefinierte Cloud SQL-IAM-Rollen
- Berechtigungen und ihre Rollen
- Benutzerdefinierte Rollen
IAM-Authentifizierungskonzepte
Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Ressource (eine Cloud SQL-Instanz) nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.
IAM-Richtlinien umfassen die folgenden Entitäten:
- Hauptkonten. In Cloud SQL können Sie zwei Arten von IAM-Hauptkonten verwenden: ein Nutzerkonto und ein Dienstkonto (für Anwendungen). Weitere Informationen finden Sie unter Identitätskonzepte.
- Rollen: Eine Rolle ist eine Sammlung von Berechtigungen. Sie können Hauptkonten Rollen zuweisen, um ihnen die Berechtigungen zu geben, die für bestimmte Aufgaben erforderlich sind. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen.
- Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Cloud SQL-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Cloud SQL-Instanzen im Projekt erhalten.