הענקת גישה למשתמשים אחרים

בדף הזה אנחנו מסבירים איך להעניק גישה לחשבון משתמש או לחשבון שירות לכל משאבי AlloyDB בפרויקט. Google Cloud

בהתאם להיקף השליטה שאתם רוצים להעניק לחשבון, אתם מקצים לו אחד מהתפקידים המוגדרים מראש האלה ב-IAM:

  • roles/alloydb.admin (Cloud AlloyDB Admin) כדי להעניק שליטה מלאה בכל המשאבים של AlloyDB
  • roles/alloydb.client (Cloud AlloyDB Client) ו-roles/serviceusage.serviceUsageConsumer (Service Usage Consumer) כדי להעניק גישת קישוריות למופעי AlloyDB מלקוחות שמתחברים באמצעות שרת proxy ל-AlloyDB Auth
  • roles/alloydb.databaseUser (משתמש במסד נתונים של Cloud AlloyDB) כדי להעניק אימות של משתמש במסד נתונים למופעי AlloyDB
  • roles/alloydb.viewer (Cloud AlloyDB Viewer) כדי להעניק גישת קריאה בלבד לכל משאבי AlloyDB

למידע מפורט על הרשאות IAM הספציפיות שהתפקידים האלה מספקים, אפשר לעיין במאמר תפקידי IAM מוגדרים מראש ב-AlloyDB.

לפני שמתחילים

  • בפרויקט שבו אתם משתמשים צריך להפעיל גישה ל-AlloyDB. Google Cloud
  • צריך להיות לכם תפקיד IAM בסיסי מסוג roles/owner (בעלים) ב Google Cloud פרויקט שבו אתם משתמשים, או תפקיד שמעניק את ההרשאות הבאות:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    כדי לקבל את ההרשאות האלה תוך שמירה על העיקרון של הרשאות מינימליות, צריך לבקש מהאדמין להקצות לכם את התפקיד roles/resourcemanager.projectIamAdmin (Project IAM Admin).

  • מפעילים את Cloud Resource Manager API בפרויקט שבו אתם משתמשים. Google Cloud

    הפעלת ה-API

התהליך

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בוחרים את הפרויקט שמופעלת בו גישה ל-AlloyDB.
  3. בוחרים חשבון משתמש או חשבון שירות כדי לתת לו גישה:
    • כדי להקצות תפקיד לחשבון משתמש שכבר יש לו תפקידים אחרים בפרויקט, מחפשים את השורה שכוללת את כתובת האימייל של חשבון המשתמש, לוחצים על Edit principal בשורה הזו ואז על Add another role.
    • כדי להקצות תפקיד לחשבון משתמש שעדיין אין לו תפקידים אחרים בפרויקט, לוחצים על Add ומזינים את כתובת האימייל של חשבון המשתמש.
  4. מהרשימה הנפתחת, בוחרים אחד מהתפקידים הבאים:
    • Cloud AlloyDB Admin
    • Cloud AlloyDB Viewer
    • Cloud AlloyDB Client ו-Service Usage Consumer
    • משתמש במסד נתונים של AlloyDB בענן
  5. לוחצים על Save. החשבון הראשי מקבל את התפקיד.

gcloud

כדי להשתמש ב-ה-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

משתמשים בפקודה add-iam-policy-binding כדי להעניק תפקיד מוגדר מראש ב-AlloyDB לחשבון משתמש או לחשבון שירות ב-IAM.

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: מזהה הפרויקט שמופעלת בו גישה ל-AlloyDB.
  • PRINCIPAL: הסוג ומזהה האימייל (כתובת האימייל) של הגורם המרכזי:
    • בחשבונות משתמש: user:EMAIL_ID
    • לחשבונות שירות: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: התפקיד שאתם רוצים לתת לחשבון המשתמש. הערך צריך להיות אחד מהערכים הבאים:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client וגם roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    במאמר תפקידים מוגדרים מראש ב-IAM ל-AlloyDB מוסבר בהרחבה אילו הרשאות מקבלים כשמקצים את התפקידים האלה.