PostgreSQL-Nutzer und ‑Rollen

Auf dieser Seite erfahren Sie, wie Cloud SQL mit PostgreSQL-Nutzern und -Rollen arbeitet. Mit PostgreSQL-Rollen können Sie den Zugriff und die Funktionen von Nutzern steuern, die auf eine PostgreSQL-Instanz zugreifen.

Die vollständige Dokumentation zu PostgreSQL-Rollen finden Sie unter Datenbankrollen in der PostgreSQL-Dokumentation. Weitere Informationen zum Erstellen und Verwalten von Cloud SQL-Nutzern finden Sie unter Nutzer erstellen und verwalten.

Unterschied zwischen Nutzern und Rollen

PostgreSQL-Rollen können eine einzelne Rolle oder eine Gruppe von Rollen darstellen. Ein Nutzer ist eine Rolle mit der Berechtigung zur Anmeldung (die Rolle hat das Attribut LOGIN). Da alle Rollen, die von Cloud SQL erstellt werden, das Attribut LOGIN enthalten, verwendet Cloud SQL die Begriffe Rolle und Nutzer synonym. Wenn Sie jedoch eine Rolle mit dem psql-Client erstellen, hat sie nicht unbedingt das Attribut LOGIN.

Alle PostgreSQL-Nutzer müssen ein Passwort haben. Sie können sich nicht mit einem Nutzer anmelden, der kein Passwort hat.

Superuser-Einschränkungen und -Berechtigungen

Cloud SQL for PostgreSQL ist ein verwalteter Dienst, daher wird der Zugriff auf bestimmte Systemprozeduren und -tabellen eingeschränkt, für die erweiterte Berechtigungen erforderlich sind. In Cloud SQL können Kunden keine Nutzer mit Superuser-Attributen erstellen oder darauf zugreifen.

Sie können keine Datenbanknutzer mit Superuser-Berechtigungen erstellen. Sie können jedoch Datenbanknutzer mit der Rolle cloudsqlsuperuser erstellen, die einige dieser Superuser-Berechtigungen hat, darunter:

• Erweiterungen erstellen, die Superuser-Berechtigungen erfordern.
• Ereignistrigger erstellen.
• Replikationsnutzer erstellen.
• Replikationspublikationen und -abos erstellen.

• Die Ausführung der Anweisungen CREATE CAST und DROP CAST als Datenbanknutzer mit der Rolle cloudsqlsuperuser. Dieser Nutzer muss jedoch die Berechtigung USAGE sowohl für den Quell- als auch für den Zieldatentyp haben. Ein Nutzer kann beispielsweise eine Umwandlung erstellen, die den Quelldatentyp int in den Zieldatentyp boolean konvertiert.

• Vollständiger Zugriff auf die Katalogtabelle pg_largeobject.

PostgreSQL-Standardnutzer

Wenn Sie eine neue Cloud SQL for PostgreSQL-Instanz erstellen, wird der Standardadministrator postgres erstellt, aber nicht das zugehörige Passwort. Sie müssen ein Passwort für diesen Nutzer festlegen, bevor Sie sich anmelden können. Dies können Sie entweder in der Google Cloud Console oder mit dem folgenden gcloud-Befehl tun:

gcloud sql users set-password postgres \
--instance=INSTANCE_NAME \
--password=PASSWORD

Der postgres-Nutzer gehört zur cloudsqlsuperuser-Rolle und hat die folgenden Attribute (Berechtigungen): CREATEROLE, CREATEDB und LOGIN. Er hat nicht die Attribute SUPERUSER oder REPLICATION.

Ein cloudsqlimportexport-Standardnutzer wird mit den minimalen Berechtigungen erstellt, die für CSV-Importe- und -Exporte erforderlich sind. Sie können Ihre eigenen Nutzer erstellen, um diese Vorgänge auszuführen. Wenn Sie das nicht tun, wird der cloudsqlimportexport-Standardnutzer verwendet. Der cloudsqlimportexport-Nutzer ist ein Systemnutzer, der von Kunden nicht direkt verwendet werden kann.

Cloud SQL-IAM-Nutzer für die IAM-Authentifizierung

Identity and Access Management (IAM) ist in Cloud SQL über das Feature IAM-Authentifizierung eingebunden. Wenn Sie Instanzen mit diesem Feature erstellen, können sich IAM-Nutzer mit ihrem IAM-Nutzernamen und -Passwort bei der Instanz anmelden. Der Vorteil der Verwendung der IAM-Authentifizierung besteht darin, dass Sie die vorhandenen IAM-Anmeldedaten eines Nutzers verwenden können, wenn Sie ihm Zugriff auf eine Datenbank gewähren. Wenn der Nutzer die Organisation verlässt, wird sein IAM-Konto gesperrt und der Zugriff wird automatisch aufgehoben.

Weitere PostgreSQL-Nutzer

Sie können weitere PostgreSQL-Nutzer oder -Rollen erstellen. Alle von Ihnen mit Cloud SQL erstellten Nutzer gehören zur Rolle cloudsqlsuperuser und haben dieselben Attribute wie der postgres-Nutzer: CREATEROLE, CREATEDB und LOGIN. Mit dem Befehl ALTER ROLE können Sie die Attribute von Nutzern ändern.

Wenn Sie einen neuen Nutzer mit dem psql-Client erstellen, können Sie ihn mit einer anderen Rolle verknüpfen oder ihm andere Attribute zuweisen.

Zugriff auf die Ansicht pg_shadow und die Tabelle pg_authid

Durch Verwendung der Ansicht pg_shadow können Sie mit den Attributen von Rollen arbeiten, die in der Katalogtabelle pg_authid als rolcanlogin markiert sind.

Die Ansicht pg_shadow enthält gehashte Passwörter und andere Eigenschaften der Rollen (Nutzer), die sich in einem Cluster anmelden dürfen. Die Katalogtabelle pg_authid enthält gehashte Passwörter und andere Eigenschaften für alle Datenbankrollen.

In Cloud SQL können Kunden mit den Standardberechtigungen nicht auf die Ansicht pg_shadow oder die Tabelle pg_authid zugreifen. Der Zugriff auf Rollennamen und gehashte Passwörter ist jedoch in bestimmten Situationen nützlich, z. B.:

• Proxys oder Load Balancing mit vorhandenen Nutzern und Passwörtern einrichten
• Nutzer ohne Änderung der Passwörter migrieren
• Benutzerdefinierte Lösungen für die Verwaltung von Passwortrichtlinien implementieren

Flags für die Ansicht pg_shadow und die Tabelle pg_authid festlegen

Wenn Sie auf die Ansicht pg_shadow zugreifen möchten, setzen Sie das cloudsql.pg_shadow_select_role-Flag auf den Namen einer PostgreSQL-Rolle. Wenn Sie auf die Tabelle pg_authid zugreifen möchten, setzen Sie das Flag cloudsql.pg_authid_select_role auf den Namen einer PostgreSQL-Rolle.

Wenn cloudsql.pg_shadow_select_role vorhanden ist, dann hat es schreibgeschützt (SELECT )-Zugriff auf die pg_shadow-Ansicht: Wenn cloudsql.pg_authid_select_role vorhanden ist, hat es SELECT-Zugriff auf die Tabelle pg_authid.

Wenn eine der Rollen nicht vorhanden ist, haben die Einstellungen keine Auswirkungen, aber es tritt auch kein Fehler auf. Wenn ein Nutzer jedoch versucht, auf die Ansicht oder die Tabelle zuzugreifen, wird ein Fehler protokolliert. Der Fehler wird im PostgreSQL-Datenbankprotokoll cloudsql.googleapis.com/postgres.log protokolliert. Informationen zum Aufrufen dieses Logs finden Sie unter Instanzlogs ansehen.

Prüfen Sie, ob die konfigurierten Rollen vorhanden sind und ob im Wert des Flags cloudsql.pg_shadow_select_role oder cloudsql.pg_authid_select_role keine Tippfehler enthalten sind. Mit der Funktion pg_has_role können Sie auch prüfen, ob ein Nutzer zu diesen Rollen gehört. Informationen zu dieser Funktion finden Sie auf der Seite Funktionen und Operatoren für Systeminformationen.

Sie können das Flag cloudsql.pg_shadow_select_role oder cloudsql.pg_authid_select_role mit der PostgreSQL-Rollenmitgliedschaft verwenden, um den Zugriff von pg_shadow oder pg_authid für mehrere Nutzer zu verwalten.

Änderungen an diesen Flags erfordern keinen Neustart der Datenbank.

Weitere Informationen zu unterstützten Flags finden Sie unter Datenbank-Flags konfigurieren.

Format für die Passwortspeicherung auswählen

Cloud SQL for PostgreSQL speichert Nutzerpasswörter in einem Hash-Format. Mit dem Flag password_encryption können Sie den Verschlüsselungsalgorithmus auf md5 oder scram-sha-256 festlegen. Der md5-Algorithmus bietet die größtmögliche Kompatibilität. scram-sha-256 ist zwar sicherer, dafür aber möglicherweise nicht mit älteren Clients kompatibel.

Wenn Sie pg_shadow-Zugriff zum Exportieren von Rolleneigenschaften aus einer Cloud SQL-Instanz aktivieren, sollten Sie den sichersten Algorithmus verwenden, der von Ihren Clients unterstützt wird.

Weitere Informationen finden Sie in der PostgreSQL-Dokumentation unter:

• Passwortauthentifizierung
• Das Flag password_encryption

Nächste Schritte

• Nutzer erstellen und verwalten
• Datenbanken erstellen und verwalten
• Siehe PostgreSQL-Dokumentation zu Rollen
• Verbindungsoptionen für Instanzen