בדף הזה מוסבר איך לנהל משתמשי מסד נתונים ב-AlloyDB ל-PostgreSQL, ואיך להפעיל אימות של ניהול זהויות והרשאות גישה (IAM) למשתמשי מסד הנתונים האלה.
איך עובד ניהול משתמשים במסד נתונים
ב-AlloyDB יש את אותם מושגים של תפקידים, משתמשים וקבוצות כמו ב-PostgreSQL. הסברים קצרים מופיעים בתיאורים הבאים:
תפקיד: התפקיד ברמה העליונה שמתאר גם משתמשי מסד נתונים וגם קבוצות של משתמשי מסד נתונים באשכול. תפקידים מספקים גישה לאובייקטים במסד הנתונים, כמו טבלאות ופונקציות, ומגבילים את הגישה אליהם.
משתמש: התפקיד שמוקצה לו מאפיין
LOGIN. משתמשים יכולים לבצע אימות ולהיכנס לאשכולות של מסדי נתונים ב-AlloyDB.קבוצה: התפקיד שמוקצה למשתמש אחד או יותר. המטרה של קבוצות היא לשלוט בהרשאות של משתמשים רבים.
איך פועל אימות מסד נתונים
כדי לבצע אימות ולחתום על אשכולות מסדי נתונים של AlloyDB, יש שתי אפשרויות:
- אימות מובנה מבוסס-סיסמה ב-PostgreSQL: כדי לאמת את זהות המשתמש, AlloyDB משווה את פרטי הכניסה שסופקו לסיסמאות מגובבות שמאוחסנות. השיטות הנתמכות כוללות
md5,scram-sha-256ו-password. - אימות IAM: מאפשר למשתמשי מסד הנתונים לבצע אימות באמצעות IAM. כך מתקבלת אבטחה משופרת ומתבצעת ריכוז של בקרת הגישה בשירותים אחרים שלGoogle Cloud .
תפקידים מוגדרים מראש
PostgreSQL מספקת תפקידים מוגדרים מראש עם הרשאות שונות. בנוסף לתפקידים המוגדרים מראש האלה, ב-AlloyDB יש עוד כמה תפקידים מוגדרים מראש למשתמשים ולקבוצות.
בטבלה הבאה מפורטים התפקידים וההרשאות של התפקידים ש-AlloyDB מספק:
| שם התפקיד | הרשאות |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB וגם LOGIN. |
postgres |
CREATEROLE, CREATEDB וגם LOGIN. |
alloydbimportexport |
CREATEROLE וגם CREATEDB |
alloydbagent |
CREATEROLE וגם CREATEDB |
alloydbreplica |
REPLICATION |
alloydbiamuser |
כברירת מחדל, לתפקיד הזה אין הרשאות. |
בקטעי המשנה הבאים מוסבר על השימושים בתפקידים האלה.
תפקיד בקבוצה alloydbsuperuser
alloydbsuperuser מאפשרת להגדיר את מערכת מסד הנתונים ולבצע משימות אחרות של משתמש-על. לתפקיד הזה יש את ההרשאות הבאות:
- יצירת תוספים שנדרשות להם הרשאות של משתמש-על
- יצירת טריגרים של אירועים
- יצירת משתמשים לשכפול
- יצירה של פרסומים ומינויים לשכפול
בתור שירות מנוהל, AlloyDB לא מאפשר להעניק למשתמשים את התפקיד superuser של PostgreSQL. במקום זאת, אתם יכולים לתת לכל משתמש במסד הנתונים הרשאות סופר-משתמש ב-AlloyDB אם תקצו לו את התפקיד alloydbsuperuser.
תפקיד משתמש postgres
תפקיד המשתמש postgres הוא חלק מ-alloydbsuperuser. כשיוצרים אשכול AlloyDB, אפשר להקצות סיסמה ל-postgres כדי שתוכלו להיכנס למערכת באמצעות postgres ולבצע משימות, כמו יצירת מסדי נתונים או תפקידים נוספים.
תפקיד משתמש alloydbimportexport
כשיוצרים אשכול AlloyDB, AlloyDB יוצר alloydbimportexport עם קבוצת ההרשאות המינימלית שנדרשת לו לפעולות ייבוא וייצוא.
יש לכם אפשרות ליצור משתמשים משלכם כדי לבצע את הפעולות האלה. אם לא יוצרים משתמש מותאם אישית alloydbimportexport, המערכת משתמשת במשתמש ברירת המחדל alloydbimportexport לפעולות יבוא ויצוא.
alloydbimportexport הוא משתמש מערכת. המשמעות היא שאי אפשר להשתמש ישירות במשתמש alloydbimportexport כדי להתחבר או לבצע פעולות אחרות במסדי הנתונים של PostgreSQL.
תפקיד משתמש alloydbagent
התפקיד alloydbagent הוא תפקיד פנימי במערכת AlloyDB. שירות AlloyDB מנהל את התפקיד, ואי אפשר להעניק אותו באופן ידני לחשבונות מסד נתונים. הניהול הזה מבטיח שמסד הנתונים והתכונות שלו יפעלו בצורה תקינה.
תפקיד משתמש alloydbreplica
התפקיד alloydbreplica הוא תפקיד פנימי במערכת AlloyDB. שירות AlloyDB מנהל את התפקיד, ואי אפשר להעניק אותו באופן ידני לחשבונות מסד נתונים. הניהול הזה מבטיח שמסד הנתונים והתכונות שלו יפעלו בצורה תקינה.
תפקיד בקבוצה alloydbiamuser
משתמשי מסד הנתונים בקבוצה alloydbiamuser מאומתים באמצעות IAM למופע AlloyDB, במקום להשתמש באימות מבוסס-סיסמה מובנה של PostgreSQL.
ב-AlloyDB אי אפשר להעניק את ההרשאה alloydbiamuser למשתמשים באמצעות הפקודה GRANT PostgreSQL או בשיטות דומות. במקום זאת, אפשר להשתמש בכלי ניהול של AlloyDB כדי ליצור משתמשי מסד נתונים שמבוססים על IAM ולנהל אותם. מידע נוסף זמין במאמר ניהול אימות IAM.
המאמרים הבאים
איך מנהלים תפקידים, משתמשים וקבוצות ב-PostgreSQL ב-AlloyDB באמצעות אימות מובנה