Anderen Nutzern Zugriff gewähren

Auf dieser Seite wird beschrieben, wie Sie einem Google Cloud Nutzerkonto oder Dienstkonto Zugriff auf alle AlloyDB-Ressourcen in einem Projekt gewähren.

Je nachdem, welchen Umfang an Kontrolle Sie dem Konto gewähren möchten, weisen Sie ihm eine der folgenden vordefinierten IAM-Rollen zu:

  • roles/alloydb.admin (Cloud AlloyDB-Administrator), um die vollständige Kontrolle über alle AlloyDB-Ressourcen zu gewähren
  • roles/alloydb.client (Cloud AlloyDB-Client) und roles/serviceusage.serviceUsageConsumer (Service Usage Consumer) zuweisen, um Verbindungszugriff auf AlloyDB-Instanzen von Clients zu gewähren, die eine Verbindung mit dem AlloyDB Auth-Proxy herstellen.
  • roles/alloydb.databaseUser (Cloud AlloyDB Database User), um die Datenbanknutzerauthentifizierung für AlloyDB-Instanzen zu gewähren
  • roles/alloydb.viewer (Cloud AlloyDB-Betrachter), um schreibgeschützten Zugriff auf alle AlloyDB-Ressourcen zu gewähren.

Ausführliche Informationen zu den spezifischen IAM-Berechtigungen, die diese Rollen bieten, finden Sie unter Vordefinierte AlloyDB-IAM-Rollen.

Hinweise

  • Das von Ihnen verwendete Google Cloud -Projekt muss für den Zugriff auf AlloyDB aktiviert sein.
  • Sie benötigen die einfache IAM-Rolle roles/owner (Inhaber) im Google Cloud -Projekt, das Sie verwenden, oder eine Rolle, die diese Berechtigungen gewährt:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Um diese Berechtigungen zu erhalten und gleichzeitig das Prinzip der geringsten Berechtigung zu wahren, bitten Sie Ihren Administrator, Ihnen die Rolle roles/resourcemanager.projectIamAdmin (Project IAM Admin) zuzuweisen.

  • Aktivieren Sie die Cloud Resource Manager API in dem Google Cloud -Projekt, das Sie verwenden.

    API aktivieren

Prozedur

Console

  1. Rufen Sie in der Google Cloud Console die Seite IAM auf.

    IAM aufrufen

  2. Wählen Sie das Projekt aus, für das der Zugriff auf AlloyDB aktiviert ist.
  3. Wählen Sie ein Hauptkonto (Nutzer oder Dienstkonto) aus, dem Sie Zugriff gewähren möchten:
    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das bereits andere Rollen für das Projekt hat, suchen Sie die Zeile mit der E-Mail-Adresse des Hauptkontos, klicken Sie in dieser Zeile auf Hauptkonto bearbeiten und dann auf Weitere Rolle hinzufügen.
    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine anderen Rollen für das Projekt hat, klicken Sie auf Hinzufügen und geben Sie dann die E-Mail-Adresse des Hauptkontos ein.
  4. Wählen Sie in der Drop-down-Liste eine der folgenden Rollen aus:
    • Cloud AlloyDB-Administrator
    • Cloud AlloyDB-Betrachter
    • Cloud AlloyDB-Client und Service Usage Consumer
    • Cloud AlloyDB Database User
  5. Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle zugewiesen.

gcloud

Wenn Sie die gcloud CLI verwenden möchten, können Sie die Google Cloud CLI installieren und initialisieren oder Cloud Shell verwenden.

Mit dem Befehl add-iam-policy-binding können Sie einem IAM-Hauptkonto (Nutzerkonto oder Dienstkonto) eine vordefinierte AlloyDB-Rolle zuweisen.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: Die ID des Projekts, das für den Zugriff auf AlloyDB aktiviert ist.
  • PRINCIPAL: Der Typ und die E-Mail-ID (E-Mail-Adresse) des Hauptkontos:
    • Für Nutzerkonten: user:EMAIL_ID
    • Für Dienstkonten: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: Die Rolle, die Sie dem Hauptkonto zuweisen möchten. Der Wert muss einer der folgenden sein:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client und roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Weitere Informationen zu den Berechtigungen, die diese Rollen gewähren, finden Sie unter Vordefinierte AlloyDB-IAM-Rollen.