Concedere l'accesso ad altri utenti

Questa pagina descrive come concedere a un account utente o di servizio l'accesso a tutte le risorse AlloyDB in un progetto. Google Cloud

A seconda dell'ambito di controllo che vuoi che abbia l'account, gli concedi uno di questi ruoli IAM predefiniti:

  • roles/alloydb.admin (Cloud AlloyDB Admin) per concedere il controllo completo di tutte le risorse AlloyDB
  • roles/alloydb.client (Cloud AlloyDB Client) e roles/serviceusage.serviceUsageConsumer (Service Usage Consumer) per concedere l'accesso alla connettività alle istanze AlloyDB dai client che si connettono con il proxy di autenticazione AlloyDB
  • roles/alloydb.databaseUser (Cloud AlloyDB Database User) per concedere l'autenticazione dell'utente del database alle istanze AlloyDB
  • roles/alloydb.viewer (Cloud AlloyDB Viewer) per concedere l'accesso in sola lettura a tutte le risorse AlloyDB

Per informazioni dettagliate sulle autorizzazioni IAM specifiche fornite da questi ruoli, consulta Ruoli IAM predefiniti di AlloyDB.

Prima di iniziare

  • Il Google Cloud progetto che utilizzi deve essere stato abilitato per accedere ad AlloyDB.
  • Devi disporre del ruolo IAM di base roles/owner (Proprietario) nel progetto Google Cloud che utilizzi o di un ruolo che conceda queste autorizzazioni:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Per ottenere queste autorizzazioni seguendo il principio del privilegio minimo, chiedi all'amministratore di concederti il ruolo roles/resourcemanager.projectIamAdmin (amministratore IAM progetto).

  • Abilita l'API Cloud Resource Manager nel progetto Google Cloud che stai utilizzando.

    Abilita l'API

Procedura

Console

  1. Nella console Google Cloud , vai alla pagina IAM.

    Vai a IAM

  2. Seleziona il progetto abilitato per accedere ad AlloyDB.
  3. Seleziona un'entità (utente o account di servizio) a cui concedere l'accesso:
    • Per concedere un ruolo a un'entità che ha già altri ruoli nel progetto, individua la riga contenente l'indirizzo email dell'entità, fai clic su Modifica entità in quella riga e fai clic su Aggiungi un altro ruolo.
    • Per concedere un ruolo a un'entità che non ha già altri ruoli nel progetto, fai clic su Aggiungi, quindi inserisci l'indirizzo email dell'entità.
  4. Seleziona uno di questi ruoli dall'elenco a discesa:
    • Cloud AlloyDB Admin
    • Cloud AlloyDB Viewer
    • Cloud AlloyDB Client e Service Usage Consumer
    • Cloud AlloyDB Database User
  5. Fai clic su Salva. All'entità viene concesso il ruolo.

gcloud

Per utilizzare gcloud CLI, puoi installare e inizializzare Google Cloud CLI oppure puoi utilizzare Cloud Shell.

Utilizza il comando add-iam-policy-binding per concedere un ruolo predefinito AlloyDB a un'entità IAM (account utente o account di servizio).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: l'ID del progetto abilitato all'accesso ad AlloyDB.
  • PRINCIPAL: il tipo e l'ID email (indirizzo email) del principal:
    • Per gli account utente: user:EMAIL_ID
    • Per i service account: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: il ruolo che vuoi concedere all'entità. Il valore deve essere uno dei seguenti:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client e roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Per informazioni dettagliate sulle autorizzazioni concesse da questi ruoli, consulta Ruoli IAM predefiniti di AlloyDB.