במאמר הזה מוסבר איך לנהל משתמשי מסד נתונים ב-AlloyDB ל-PostgreSQL ואיך להפעיל אימות של ניהול זהויות והרשאות גישה (IAM) למשתמשי מסד הנתונים האלה.
איך עובד ניהול משתמשים במסד נתונים
ב-AlloyDB יש את אותם מושגים של תפקידים, משתמשים וקבוצות כמו ב-PostgreSQL. הסבר קצר מופיע בתיאורים הבאים:
תפקיד: התפקיד ברמה העליונה שמתאר גם משתמשים במסד הנתונים וגם קבוצות של משתמשים במסד הנתונים בכל האשכול. תפקידים מספקים גישה לאובייקטים במסד הנתונים, כמו טבלאות ופונקציות, ומגבילים את הגישה אליהם.
משתמש: התפקיד שמוקצה לו מאפיין
LOGIN. משתמשים יכולים לבצע אימות ולהיכנס לאשכולות של מסדי נתונים ב-AlloyDB.קבוצה: התפקיד שמוענק למשתמש אחד או יותר. המטרה של קבוצות היא לשלוט בהרשאות של הרבה משתמשים בבת אחת.
איך פועל אימות מסד נתונים
כדי לבצע אימות ולחתום על אשכולות מסדי נתונים של AlloyDB, יש שתי אפשרויות:
- אימות מובנה ב-PostgreSQL שמבוסס על סיסמה:
כדי לאמת את זהות המשתמש, AlloyDB משווה את פרטי הכניסה שסופקו לסיסמאות מגובבות שמאוחסנות. השיטות הנתמכות כוללות
md5,scram-sha-256ו-password. - אימות IAM: מאפשר למשתמשי מסד נתונים לבצע אימות באמצעות IAM. הגישה הזו מספקת אבטחה משופרת ומרכזת את בקרת הגישה בשירותים אחרים שלGoogle Cloud .
תפקידים מוגדרים מראש
PostgreSQL מספקת תפקידים מוגדרים מראש עם הרשאות שונות. בנוסף לתפקידים המוגדרים מראש האלה, ב-AlloyDB יש עוד כמה תפקידים מוגדרים מראש למשתמשים ולקבוצות.
בטבלאות הבאות מפורטים התפקידים וההרשאות של התפקידים ש-AlloyDB מספק:
| שם התפקיד | הרשאות |
|---|---|
alloydbsuperuser |
CREATEROLE, CREATEDB וגם LOGIN. |
postgres |
CREATEROLE, CREATEDB וגם LOGIN. |
alloydbimportexport |
CREATEROLE וגם CREATEDB |
alloydbagent |
CREATEROLE וגם CREATEDB |
alloydbreplica |
REPLICATION |
alloydbiamuser |
כברירת מחדל, לתפקיד הזה אין הרשאות. |
בקטעי המשנה הבאים מוסבר על השימושים בתפקידים האלה.
תפקיד בקבוצה alloydbsuperuser
alloydbsuperuser מאפשר להגדיר את מערכת מסד הנתונים ולבצע משימות אחרות של משתמש-על. לתפקיד הזה יש את ההרשאות הבאות:
- יצירת תוספים שנדרשות להם הרשאות סופר-משתמש
- יצירת טריגרים של אירועים
- יצירת משתמשים לשכפול
- יצירת פרסומים ומינויים לשכפול
בתור שירות מנוהל, AlloyDB לא מאפשר להעניק למשתמשים את התפקיד superuser של PostgreSQL. במקום זאת, אתם יכולים לתת לכל משתמש במסד הנתונים הרשאות סופר-משתמש ב-AlloyDB אם תקצו לו את התפקיד alloydbsuperuser.
תפקיד משתמש postgres
תפקיד המשתמש postgres הוא חלק מ-alloydbsuperuser. כשיוצרים אשכול AlloyDB, אפשר להקצות סיסמה ל-postgres כדי שתוכלו להיכנס למערכת באמצעות postgres ולבצע משימות, כמו יצירת מסדי נתונים או תפקידים נוספים.
תפקיד משתמש alloydbimportexport
כשיוצרים אשכול AlloyDB, AlloyDB יוצר alloydbimportexport עם קבוצת ההרשאות המינימלית שנדרשת לו לפעולות ייבוא וייצוא.
יש לכם אפשרות ליצור משתמשים משלכם כדי לבצע את הפעולות האלה. אם לא יוצרים משתמש מותאם אישית של alloydbimportexport, המערכת משתמשת במשתמש ברירת המחדל של alloydbimportexport לפעולות יבוא ויצוא.
alloydbimportexport הוא משתמש מערכת. המשמעות היא שאי אפשר להשתמש ישירות במשתמש alloydbimportexport כדי להתחבר או לבצע פעולות אחרות במסדי הנתונים שלכם ב-PostgreSQL.
תפקיד משתמש alloydbagent
התפקיד alloydbagent הוא תפקיד פנימי במערכת AlloyDB. שירות AlloyDB מנהל את התפקיד, ואי אפשר להעניק אותו באופן ידני לחשבונות מסד נתונים. הניהול הזה מבטיח שמסד הנתונים והתכונות שלו יפעלו בצורה תקינה.
תפקיד משתמש alloydbreplica
התפקיד alloydbreplica הוא תפקיד פנימי במערכת AlloyDB. שירות AlloyDB מנהל את התפקיד, ואי אפשר להעניק אותו באופן ידני לחשבונות מסד נתונים. הניהול הזה מבטיח שמסד הנתונים והתכונות שלו יפעלו בצורה תקינה.
תפקיד בקבוצה alloydbiamuser
משתמשי מסד נתונים בקבוצה alloydbiamuser מאומתים באמצעות IAM במופע AlloyDB, במקום להשתמש באימות מבוסס-סיסמה מובנה של PostgreSQL.
ב-AlloyDB אי אפשר להעניק למשתמשים את ההרשאה alloydbiamuser באמצעות הפקודה GRANT של PostgreSQL או בשיטות דומות. במקום זאת, אפשר להשתמש בכלים אדמיניסטרטיביים של AlloyDB כדי ליצור משתמשי מסד נתונים שמבוססים על IAM ולנהל אותם. מידע נוסף זמין במאמר בנושא ניהול אימות IAM.
המאמרים הבאים
איך מנהלים תפקידים, משתמשים וקבוצות ב-PostgreSQL ב-AlloyDB באמצעות אימות מובנה