Otorga acceso a otros usuarios

En esta página, se describe cómo otorgar acceso a una Google Cloud cuenta de usuario o cuenta de servicio a todos los recursos de AlloyDB en un proyecto.

Según el alcance del control que deseas que tenga la cuenta, otórgale uno de estos roles de IAM predefinidos:

  • roles/alloydb.admin (administrador de Cloud AlloyDB) para otorgar control total sobre todos los recursos de AlloyDB
  • roles/alloydb.client (Cliente de Cloud AlloyDB) y roles/serviceusage.serviceUsageConsumer (Consumidor de uso del servicio) para otorgar acceso de conectividad a las instancias de AlloyDB desde los clientes que se conectan con el proxy de autenticación de AlloyDB
  • roles/alloydb.databaseUser (Usuario de base de datos de Cloud AlloyDB) para otorgar autenticación de usuario de base de datos a instancias de AlloyDB
  • roles/alloydb.viewer (Visualizador de Cloud AlloyDB) para otorgar acceso de solo lectura a todos los recursos de AlloyDB

Para obtener información detallada sobre los permisos específicos de IAM que proporcionan estos roles, consulta Roles predefinidos de IAM de AlloyDB.

Antes de comenzar

  • El proyecto Google Cloud que usas debe estar habilitado para acceder a AlloyDB.
  • Debes tener el rol básico de IAM roles/owner (propietario) en el proyecto Google Cloud que usas o un rol que otorgue estos permisos:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para obtener estos permisos y seguir el principio de privilegio mínimo, pídele a tu administrador que te otorgue el rol roles/resourcemanager.projectIamAdmin (administrador de IAM del proyecto).

  • Habilita la API de Cloud Resource Manager en el proyecto de Google Cloud que estás usando.

    Habilita la API

Procedimiento

Console

  1. En la consola de Google Cloud , ve a la página IAM.

    Ir a IAM

  2. Selecciona el proyecto habilitado para acceder a AlloyDB.
  3. Selecciona una principal (usuario o cuenta de servicio) para otorgarle acceso:
    • Para otorgar un rol a una principal que ya tenga otros roles en el proyecto, busca la fila que contiene la dirección de correo electrónico de la principal, haz clic en Editar principal en esa fila y, luego, en Agregar otro rol.
    • Para otorgar un rol a una principal que aún no tenga otros roles en el proyecto, haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de la principal.
  4. En la lista desplegable, selecciona uno de estos roles:
    • Administrador de Cloud AlloyDB
    • Visualizador de Cloud AlloyDB
    • Cliente de Cloud AlloyDB y Consumidor de uso del servicio
    • Usuario de base de datos de Cloud AlloyDB
  5. Haz clic en Guardar. Se le otorga el rol a la principal.

gcloud

Para usar gcloud CLI, puedes instalar y, luego, inicializar Google Cloud CLI, o bien usar Cloud Shell.

Usa el comando add-iam-policy-binding para otorgar un rol predefinido de AlloyDB a una principal de IAM (cuenta de usuario o cuenta de servicio).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: ID del proyecto habilitado para acceder a AlloyDB.
  • PRINCIPAL: Tipo y ID de correo electrónico (dirección de correo electrónico) del principal:
    • Para cuentas de usuario: user:EMAIL_ID
    • Para cuentas de servicio: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: Es el rol que deseas otorgar a la principal. El valor debe ser uno de los siguientes:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client y roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para obtener detalles sobre los permisos que otorgan estos roles, consulta Roles predefinidos de IAM de AlloyDB.