Autenticação do IAM

O Google Cloud oferece o Identity and Access Management (IAM), que permite a concessão de acesso a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Nesta página, descrevemos como o Cloud SQL está integrado ao IAM . Para uma descrição detalhada do Google Cloud IAM, consulte a documentação do IAM.

O Cloud SQL fornece um conjunto de papéis predefinidos, projetados para ajudar você a controlar o acesso aos recursos do Cloud SQL. Também é possível criar seus próprios papéis personalizados caso aqueles predefinidos não forneçam os conjuntos de permissões necessárias. Além disso, os papéis básicos de legado (Editor, Leitor e Proprietário) também estão disponíveis, embora não forneçam o mesmo controle granular que os papéis do Cloud SQL. Em particular, os papéis básicos fornecem acesso a recursos no Google Cloud e não apenas para o Cloud SQL. Para mais informações sobre os papéis básicos do Google Cloud, consulte Papéis básicos.

É possível definir uma política do IAM em qualquer nível da hierarquia de recursos: de organização, pasta ou projeto. Os recursos herdam as políticas de todos os recursos pai.

Referências de IAM para o Cloud SQL

• Permissões necessárias para tarefas comuns no console do Google Cloud.
• Permissões necessárias para os comandos gcloud sql
• Permissões necessárias para métodos da API Cloud SQL Admin
• Papéis predefinidos do Cloud SQL IAM
• Permissões e os papéis delas
• Funções personalizadas

Conceitos da autenticação do IAM

Ao usar a autenticação do IAM, a permissão para acessar um recurso (uma instância do Cloud SQL) não é concedida diretamente ao usuário final. Em vez disso, as permissões são agrupadas em papéis, que são concedidos a principals. Para mais informações, consulte a visão geral do IAM.

Os administradores que têm usuários fazendo login por meio da autenticação do banco de dados do IAM podem usar o IAM para gerenciar o controle de acesso às instâncias de modo centralizado usando políticas do IAM. As políticas do IAM envolvem as seguintes entidades:

• Principais. Para mais informações, consulte Conceitos relacionados à identidade.
• Papéis. A autenticação do banco de dados do IAM exige que um dos principais tenha a permissão cloudsql.instances.login para fazer login em uma instância. Para receber essa permissão, você precisa vincular o papel de usuário da instância do Cloud SQL predefinido ou um papel personalizado que agrupe a permissão. Para mais informações sobre os papéis do IAM, consulte Papéis.
• Recurso. Os recursos que os principais acessam são instâncias do Cloud SQL. Por padrão, as vinculações de política do IAM são aplicadas no nível do projeto, de modo que os principais recebam permissões de papel para todas as instâncias do Cloud SQL no projeto.