Conceder acesso a outros usuários

Nesta página, descrevemos como conceder a uma conta de usuário ou de serviço Google Cloud acesso a todos os recursos do AlloyDB em um projeto.

Dependendo do escopo de controle que você quer que a conta tenha, conceda a ela um destes papéis predefinidos do IAM:

  • roles/alloydb.admin (administrador do Cloud AlloyDB) para conceder controle total a todos os recursos do AlloyDB
  • roles/alloydb.client (cliente do Cloud AlloyDB) e roles/serviceusage.serviceUsageConsumer (consumidor de uso do serviço) para conceder acesso de conectividade a instâncias do AlloyDB de clientes que se conectam com o proxy de autenticação do AlloyDB.
  • roles/alloydb.databaseUser (usuário do banco de dados do Cloud AlloyDB) para conceder autenticação de usuário do banco de dados a instâncias do AlloyDB
  • roles/alloydb.viewer (Leitor do Cloud AlloyDB) para conceder acesso somente leitura a todos os recursos do AlloyDB.

Para informações detalhadas sobre as permissões específicas do IAM que esses papéis oferecem, consulte Papéis predefinidos do IAM do AlloyDB.

Antes de começar

  • O projeto Google Cloud que você está usando precisa ter sido ativado para acessar o AlloyDB.
  • Você precisa ter o papel básico do IAM roles/owner (Proprietário) no projeto Google Cloud que está usando ou um papel que conceda estas permissões:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    Para receber essas permissões seguindo o princípio de privilégio mínimo, peça ao administrador para conceder a você o papel de roles/resourcemanager.projectIamAdmin (administrador do IAM do projeto).

  • Ative a API Cloud Resource Manager no projeto do Google Cloud que você está usando.

    Ativar a API

Procedimento

Console

  1. No console Google Cloud , acesse a página IAM.

    Acessar IAM

  2. Selecione o projeto ativado para acessar o AlloyDB.
  3. Selecione um principal (usuário ou conta de serviço) para conceder acesso:
    • Para conceder um papel a um principal que já tem outros papéis no projeto, encontre a linha que contém o endereço de e-mail dele, clique em Editar principal nessa linha e clique em Adicionar outro papel.
    • Para conceder um papel a um principal que ainda não tem outros papéis no projeto, clique em Adicionar e insira o endereço de e-mail do principal.
  4. Na lista suspensa, selecione uma destas funções:
    • Administrador do Cloud AlloyDB
    • Leitor do Cloud AlloyDB
    • Cliente do Cloud AlloyDB e Consumidor de uso do serviço
    • Usuário do banco de dados do Cloud AlloyDB
  5. Clique em Salvar. O principal recebe o papel.

gcloud

Para usar a CLI gcloud, instale e inicialize a Google Cloud CLI ou use o Cloud Shell.

Use o comando add-iam-policy-binding para conceder um papel predefinido do AlloyDB a um principal do IAM (conta de usuário ou conta de serviço).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: o ID do projeto habilitado para acessar o AlloyDB.
  • PRINCIPAL: o tipo e o ID de e-mail (endereço de e-mail) do principal:
    • Para contas de usuário: user:EMAIL_ID
    • Para contas de serviço: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: o papel que você quer conceder ao principal. O valor precisa ser um dos indicados abaixo:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client e roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    Para detalhes sobre as permissões que esses papéis concedem, consulte Papéis predefinidos do IAM do AlloyDB.