Google Cloud 提供 Identity and Access Management (IAM),可让您授予对特定 Google Cloud 资源的访问权限,并防止对其他资源进行不必要的访问。本页面介绍了 Cloud SQL 如何与 IAM 集成。 如需详细了解 Google Cloud IAM,请参阅 IAM 文档。
Cloud SQL 提供了一组预定义角色,旨在帮助您控制对 Cloud SQL 资源的访问权限。如果预定义角色无法提供您所需的权限集,您还可以创建自己的自定义角色。此外,旧版基本角色(Editor、Viewer、Owner)仍可供您使用,但这些角色提供的控制不如 Cloud SQL 角色那样精细。具体而言,基本角色提供的是对整个 Google Cloud 资源的访问权限,而不仅仅是对 Cloud SQL 的访问权限。如需详细了解基本 Google Cloud 角色,请参阅基本角色。
您可以在资源层次结构中的任一层级设置 IAM 政策:组织级、文件夹级或项目级。资源会继承其所有父级资源的政策。
适用于 Cloud SQL 的 IAM 参考文档
- Google Cloud 控制台中常见任务所需的权限
gcloud sql命令所需的权限- Cloud SQL Admin API 方法所需的权限
- 预定义 Cloud SQL IAM 角色
- 权限及其对应的角色
- 自定义角色
IAM 身份验证概念
使用 IAM 身份验证时,不会直接向最终用户授予资源(Cloud SQL 实例)访问权限。而是将权限分组为多个角色,然后将这些角色授予主账号。如需了解详情,请参阅 IAM 概览。
IAM 政策涉及以下实体:
- 主账号。 在 Cloud SQL 中,您可以使用两种类型的主账号:用户账号和服务账号(用于应用)。 如需了解详情,请参阅与身份相关的概念。
- 角色。角色是一组权限的集合。您可以向主账号授予角色,以便为他们提供完成特定任务所需的权限。如需详细了解 IAM 角色,请参阅角色。
- 资源。主账号有权访问的资源是 Cloud SQL 实例。默认情况下,IAM 政策绑定在项目级层应用,以便主账号获得项目中所有 Cloud SQL 实例的角色权限。