Mengelola autentikasi IAM

Halaman ini menjelaskan cara menyiapkan instance AlloyDB untuk PostgreSQL agar mengizinkan autentikasi database melalui Identity and Access Management (IAM).

Autentikasi IAM melengkapi autentikasi database melalui pengguna PostgreSQL standar, yang didukung oleh setiap cluster AlloyDB. Jika mengaktifkan autentikasi IAM di cluster, Anda dapat menggunakan peran pengguna IAM atau PostgreSQL untuk melakukan autentikasi dengan cluster tersebut.

Secara default, instance AlloyDB tidak mengaktifkan autentikasi IAM. Untuk mengaktifkan autentikasi IAM, selesaikan langkah-langkah berikut:

• Aktifkan autentikasi IAM secara manual di setiap instance yang perlu dihubungkan oleh akun pengguna atau layanan IAM.

• Untuk setiap akun pengguna atau akun layanan IAM yang perlu login sebagai pengguna database, selesaikan langkah-langkah berikut:

  1. Dengan menggunakan alat administrator IAM, berikan peran alloydb.databaseUser dan serviceusage.serviceUsageConsumer kepada pengguna atau akun layanan tersebut.

  2. Dengan menggunakan Google Cloud CLI, buat pengguna database yang sesuai dengan pengguna atau akun layanan tersebut di cluster AlloyDB Anda.

  3. Menggunakan akun administrator database seperti postgres, berikan hak istimewa akses pengguna database baru ke tabel database yang sesuai.

Anda dapat mengulangi langkah-langkah ini kapan pun Anda perlu menambahkan pengguna IAM lainnya ke cluster AlloyDB.

Mengaktifkan atau menonaktifkan autentikasi IAM

Untuk mengaktifkan autentikasi IAM pada instance, tetapkan flag alloydb.iam_authentication pada instance tersebut ke on.

Untuk menonaktifkan autentikasi IAM pada instance, tetapkan alloydb.iam_authentication kembali ke nilai defaultnya, off.

Untuk mengetahui informasi selengkapnya tentang menyetel flag pada instance AlloyDB, lihat Mengonfigurasi flag database instance.

Memberi akun pengguna atau akun layanan IAM akses ke instance

Mengaktifkan akses IAM untuk pengguna database baru adalah proses dua langkah:

1. Perbarui setelan IAM project Anda untuk memberikan akses database AlloyDB kepada pengguna atau akun layanan IAM yang sesuai.

2. Buat pengguna database baru di cluster Anda, dengan menetapkan nama pengguna sebagai alamat email pengguna IAM atau akun layanan.

Anda dapat mengulangi langkah kedua untuk memberikan akses akun IAM ke cluster lain dalam project Anda.

Memperbarui akun IAM dengan peran yang sesuai

Anda dapat memberikan kemampuan kepada pengguna IAM atau akun layanan untuk mengautentikasi dengan instance AlloyDB dengan memberikan peran IAM berikut kepada mereka:

• alloydb.databaseUser: Mengizinkan pengguna terhubung ke instance AlloyDB Anda.
• serviceusage.serviceUsageConsumer: Memberikan akses pengguna ke API yang memeriksa izin.

Untuk melakukannya, ikuti petunjuk di bagian Memberikan akses kepada pengguna lain. Pada langkah saat Anda memilih peran untuk diberikan ke akun utama IAM, pilih alloydb.databaseUser.

Menambahkan akun pengguna atau akun layanan IAM ke cluster

gcloud alloydb users create USERNAME \
--cluster=CLUSTER \
--region=REGION \
--type=IAM_BASED

Memberikan izin database yang sesuai kepada pengguna IAM

Saat pengguna IAM ditambahkan ke instance database, pengguna baru tersebut tidak diberi hak istimewa di database mana pun secara default.

Saat akun pengguna atau akun layanan terhubung ke database, mereka dapat menjalankan kueri terhadap objek database yang aksesnya telah diberikan ke Publik.

Jika membutuhkan akses tambahan, lebih banyak hak istimewa dapat diberikan menggunakan pernyataan PostgreSQL GRANT.

GRANT SELECT ON TABLE_NAME TO "USERNAME";

Ganti variabel berikut:

• USERNAME: Alamat email untuk pengguna. Anda harus menyertakan tanda kutip ganda di sekitar alamat.

• TABLE_NAME: Nama tabel yang ingin Anda berikan akses kepada pengguna.

Menghapus akun pengguna atau akun layanan IAM dari cluster

gcloud alloydb users delete USERNAME \
--cluster=CLUSTER \
--region=REGION

Langkah berikutnya

• Menghubungkan menggunakan akun IAM