Auf dieser Seite finden Sie einen Überblick darüber, wie Sie Datenbanknutzer in AlloyDB for PostgreSQL verwalten und die IAM-Authentifizierung (Identity and Access Management) für diese Datenbanknutzer aktivieren.
So funktioniert die Verwaltung von Datenbanknutzern
AlloyDB verwendet dieselben Konzepte für Rollen, Nutzer und Gruppen wie PostgreSQL. Kurze Erläuterungen finden Sie in den folgenden Beschreibungen:
Rolle:Die Bezeichnung der obersten Ebene, die sowohl Datenbanknutzer als auch Gruppen von Datenbanknutzern in einem Cluster beschreibt. Rollen ermöglichen und beschränken den Zugriff auf Datenbankobjekte wie Tabellen und Funktionen.
Nutzer:Die Rolle, der das Attribut
LOGINzugewiesen ist. Nutzer können sich authentifizieren und in AlloyDB-Datenbankcluster anmelden.Gruppe:Die Rolle, die einem oder mehreren Nutzern zugewiesen wird. Mit Gruppen können Sie die Berechtigungen steuern, die viele Nutzer insgesamt haben.
So funktioniert die Datenbankauthentifizierung
Für die Authentifizierung und Anmeldung bei Ihren AlloyDB-Datenbankclustern haben Sie zwei Möglichkeiten:
- Integrierte passwortbasierte PostgreSQL-Authentifizierung: Zur Überprüfung der Nutzeridentität vergleicht AlloyDB die angegebenen Anmeldedaten mit gespeicherten, gehashten Passwörtern. Unterstützte Methoden sind
md5,scram-sha-256undpassword. - IAM-Authentifizierung: Datenbanknutzer können sich mit IAM authentifizieren. Dies bietet mehr Sicherheit und zentralisiert die Zugriffssteuerung für andereGoogle Cloud -Dienste.
Vordefinierte Rollen
PostgreSQL bietet vordefinierte Rollen mit verschiedenen Berechtigungen. Zusätzlich zu diesen vordefinierten Rollen bietet AlloyDB mehrere weitere vordefinierte Nutzer- und Gruppenrollen.
In den folgenden Tabellen sind die Rollen und Rollenberechtigungen aufgeführt, die in AlloyDB verfügbar sind:
| Rollenname | Berechtigungen |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB und LOGIN. |
postgres |
CREATEROLE, CREATEDB und LOGIN. |
alloydbimportexport |
CREATEROLE und CREATEDB. |
alloydbagent |
CREATEROLE und CREATEDB. |
alloydbreplica |
REPLICATION |
alloydbiamuser |
Standardmäßig hat diese Rolle keine Berechtigungen. |
In den folgenden Unterabschnitten wird die Verwendung dieser Rollen erläutert.
alloydbsuperuser-Gruppenrolle
Mit alloydbsuperuser können Sie Ihr Datenbanksystem einrichten und andere Superuser-Aufgaben ausführen. Diese Rolle hat die folgenden Berechtigungen:
- Erweiterungen erstellen, die Superuser-Berechtigungen erfordern
- Ereignistrigger erstellen
- Replikationsnutzer erstellen
- Replikationspublikationen und -abos erstellen
Als verwalteter Dienst erlaubt AlloyDB nicht, Nutzern die PostgreSQL-Rolle superuser zuzuweisen. Stattdessen können Sie jedem Datenbanknutzer AlloyDB-Superuser-Berechtigungen erteilen, indem Sie ihm die Rolle alloydbsuperuser zuweisen.
postgres-Nutzerrolle
Die Nutzerrolle postgres ist Teil von alloydbsuperuser. Wenn Sie einen AlloyDB-Cluster erstellen, weisen Sie postgres ein Passwort zu. Anschließend melden Sie sich mit postgres in Ihrem System an, um Aufgaben wie das Erstellen von Datenbanken oder zusätzlichen Rollen auszuführen.
alloydbimportexport-Nutzerrolle
Wenn Sie einen AlloyDB-Cluster erstellen, erstellt AlloyDB alloydbimportexport mit den minimalen Berechtigungen, die für Import- und Exportvorgänge erforderlich sind.
Sie können Ihre eigenen Nutzer erstellen, um diese Vorgänge auszuführen. Wenn Sie keinen benutzerdefinierten alloydbimportexport-Nutzer erstellen, verwendet das System den Standard-alloydbimportexport-Nutzer für Import- und Exportvorgänge.
alloydbimportexport ist ein Systemnutzer. Das bedeutet, dass Sie sich mit dem Nutzer alloydbimportexport nicht direkt anmelden oder andere Vorgänge in Ihren PostgreSQL-Datenbanken ausführen können.
alloydbagent-Nutzerrolle
Die Rolle alloydbagent ist eine interne AlloyDB-Systemrolle. Der AlloyDB-Dienst verwaltet die Rolle und Sie können sie Datenbankkonten nicht manuell zuweisen. Diese Verwaltung sorgt dafür, dass die Datenbank und ihre Funktionen korrekt funktionieren.
alloydbreplica-Nutzerrolle
Die Rolle alloydbreplica ist eine interne AlloyDB-Systemrolle. Der AlloyDB-Dienst verwaltet die Rolle und Sie können sie Datenbankkonten nicht manuell zuweisen. Diese Verwaltung sorgt dafür, dass die Datenbank und ihre Funktionen korrekt funktionieren.
alloydbiamuser-Gruppenrolle
Datenbanknutzer in der Gruppe alloydbiamuser authentifizieren sich bei einer AlloyDB-Instanz über IAM anstelle der integrierten passwortbasierten Authentifizierung von PostgreSQL.
In AlloyDB können Sie Nutzern nicht mit dem PostgreSQL-Befehl GRANT oder ähnlichen Methoden die Rolle alloydbiamuser zuweisen. Stattdessen können Sie AlloyDB-Verwaltungstools verwenden, um IAM-basierte Datenbanknutzer zu erstellen und zu verwalten. Weitere Informationen finden Sie unter IAM-Authentifizierung verwalten.
Nächste Schritte
Informationen zum Verwalten von PostgreSQL-Rollen, ‑Nutzern und ‑Gruppen für AlloyDB mit integrierter Authentifizierung.