Autenticación de IAM

Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describe cómo se integra Cloud SQL a la IAM. Para obtener una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.

Cloud SQL proporciona un conjunto de roles predefinidos diseñados para ayudarte a controlar el acceso a tus recursos de Cloud SQL. También puedes crear tus roles personalizados, si los roles predefinidos no proporcionan los conjuntos de permisos que necesitas. Los roles básicos heredados (Editor, Visualizador y Propietario) también están disponibles, aunque no proporcionan el mismo control detallado que los roles de Cloud SQL. En particular, las funciones básicas brindan acceso a recursos en todo Google Cloud, en lugar de solo a los de Cloud SQL. Para obtener más información sobre los roles básicos de Google Cloud, consulta Roles básicos.

Puedes establecer una política de IAM en cualquier nivel de la jerarquía de recursos: a nivel de organización, de carpeta o de proyecto. Los recursos heredan las políticas de todos sus recursos superiores.

Referencias de IAM para Cloud SQL

• Permisos necesarios para realizar tareas comunes en la consola de Google Cloud
• Permisos necesarios para los comandos gcloud sql
• Permisos obligatorios para los métodos de la API de Cloud SQL Admin.
• Roles predefinidos de IAM en Cloud SQL
• Permisos y sus funciones
• Funciones personalizadas

Conceptos de autenticación de IAM

Cuando se usa la autenticación de IAM, el permiso para acceder a un recurso (una instancia de Cloud SQL) no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en roles, y los roles se otorgan a las principales autenticadas. Para obtener más información, consulta la descripción general de IAM.

Los administradores que tienen usuarios que acceden a través de la autenticación de la base de datos de IAM pueden usar IAM para administrar de forma centralizada el control de acceso a sus instancias con políticas de IAM. Las políticas de IAM involucran las siguientes entidades:

• Principales Para obtener más información, consulta Conceptos relacionados con la identidad.
• Funciones. Para la autenticación de la base de datos de IAM, un usuario necesita el permiso cloudsql.instances.login para acceder a una instancia. Para obtener este permiso, debes enlazar el rol de usuario de instancia de Cloud SQL predefinido o un rol personalizado que agrupe el permiso. Para obtener más información sobre las funciones de IAM, consulta Funciones.
• Recurso. Los recursos a los que acceden los principales son instancias de Cloud SQL. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que los principales reciban permisos de función para todas las instancias de Cloud SQL en el proyecto.