הענקת גישה למשתמשים אחרים

בדף הזה מוסבר איך לתת לחשבון משתמש או לחשבון שירות גישה לכל משאבי AlloyDB בפרויקט. Google Cloud

בהתאם להיקף השליטה שאתם רוצים להעניק לחשבון, אתם מקצים לו אחד מהתפקידים המוגדרים מראש האלה ב-IAM:

  • roles/alloydb.admin (Cloud AlloyDB Admin) כדי להעניק שליטה מלאה בכל משאבי AlloyDB
  • roles/alloydb.client (Cloud AlloyDB Client) ו-roles/serviceusage.serviceUsageConsumer (Service Usage Consumer) כדי להעניק גישת קישוריות למופעי AlloyDB מלקוחות שמתחברים באמצעות שרת ה-proxy של AlloyDB Auth
  • roles/alloydb.databaseUser (משתמש במסד נתונים של Cloud AlloyDB) כדי להעניק אימות של משתמשים במסד נתונים למופעי AlloyDB
  • roles/alloydb.viewer (Cloud AlloyDB Viewer) כדי להעניק גישת קריאה בלבד לכל משאבי AlloyDB

במאמר תפקידי IAM מוגדרים מראש ב-AlloyDB מפורטות ההרשאות הספציפיות ב-IAM שכל תפקיד מספק.

לפני שמתחילים

  • Google Cloud בפרויקט שבו אתם משתמשים צריך להיות מופעלת גישה ל-AlloyDB.
  • צריך להיות לכם תפקיד IAM בסיסי של roles/owner (בעלים) ב Google Cloud פרויקט שבו אתם משתמשים, או תפקיד שמעניק את ההרשאות האלה:
    • resourcemanager.projects.get
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy

    כדי לקבל את ההרשאות האלה תוך שמירה על העקרון של הרשאות מינימליות, צריך לבקש מהאדמין להקצות לכם את התפקיד roles/resourcemanager.projectIamAdmin (אדמין IAM בפרויקט).

  • מפעילים את Cloud Resource Manager API בפרויקט שבו משתמשים. Google Cloud

    הפעלת ה-API

התהליך

המסוף

  1. נכנסים לדף IAM במסוף Google Cloud .

    כניסה לדף IAM

  2. בוחרים את הפרויקט שמופעלת בו גישה ל-AlloyDB.
  3. בוחרים חשבון משתמש או חשבון שירות כדי לתת לו גישה:
    • כדי להקצות תפקיד לישות מורשית שכבר יש לה תפקידים אחרים בפרויקט, מחפשים את השורה שכוללת את כתובת האימייל של הישות המורשית ולוחצים על Edit principal בשורה הזו, ואז לוחצים על Add another role.
    • כדי להקצות תפקיד לחשבון משתמש שעדיין אין לו תפקידים אחרים בפרויקט, לוחצים על Add ומזינים את כתובת האימייל של חשבון המשתמש.
  4. מהרשימה הנפתחת, בוחרים אחד מהתפקידים הבאים:
    • Cloud AlloyDB Admin
    • Cloud AlloyDB Viewer
    • Cloud AlloyDB Client ו-Service Usage Consumer
    • משתמש במסד נתונים ב-AlloyDB בענן
  5. לוחצים על Save. החשבון הראשי יקבל את התפקיד.

gcloud

כדי להשתמש ב-CLI של gcloud, אפשר להתקין ולהפעיל את Google Cloud CLI, או להשתמש ב-Cloud Shell.

משתמשים בפקודה add-iam-policy-binding כדי להעניק תפקיד מוגדר מראש ב-AlloyDB לחשבון ראשי ב-IAM (חשבון משתמש או חשבון שירות).

gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=PRINCIPAL \
    --role=ALLOYDB_ROLE
  • PROJECT_ID: מזהה הפרויקט שמופעלת בו גישה ל-AlloyDB.
  • PRINCIPAL: הסוג ומזהה האימייל (כתובת האימייל) של הגורם המרכזי:
    • לחשבונות משתמש: user:EMAIL_ID
    • לחשבונות שירות: serviceAccount:EMAIL_ID

  • ALLOYDB_ROLE: התפקיד שאתם רוצים להעניק לישות המורשית. הערך חייב להיות אחד מהערכים הבאים:

    • roles/alloydb.admin
    • roles/alloydb.viewer
    • roles/alloydb.client וגם roles/serviceusage.serviceUsageConsumer
    • roles/alloydb.databaseUser

    במאמר תפקידים מוגדרים מראש ב-IAM של AlloyDB מוסבר בהרחבה על ההרשאות שמוענקות באמצעות התפקידים האלה.