Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso a recursos específicos Google Cloud y evitar el acceso no deseado a otros recursos. En esta página, se describe cómo se integra Cloud SQL a la IAM . Para ver una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.
Cloud SQL proporciona un conjunto de roles predefinidos diseñados para ayudarte a controlar el acceso a tus recursos de Cloud SQL. También puedes crear tus roles personalizados, si los roles predefinidos no proporcionan los conjuntos de permisos que necesitas. Los roles básicos heredados (Editor, Visualizador y Propietario) también están disponibles, aunque no proporcionan el mismo control detallado que los roles de Cloud SQL. En particular, las funciones básicas brindan acceso a recursos en Google Cloud, en lugar de solo a los de Cloud SQL. Para obtener más información sobre las roles básicos Google Cloud , consulta Funciones básicas.
Puedes establecer una política de IAM en cualquier nivel de la jerarquía de recursos: a nivel de organización, de carpeta o de proyecto. Los recursos heredan las políticas de todos sus recursos superiores.
Cloud SQL para SQL Server solo admite la autenticación de IAM para operaciones de instancias y copias de seguridad. La autenticación de IAM no es compatible con las operaciones de bases de datos. Usa las siguientes opciones de autenticación para las operaciones y consultas de bases de datos:
- Autenticación de base de datos integrada con nombre de usuario y contraseñas
- Active Directory administrado por el cliente
- Servicio administrado para Microsoft Active Directory
Referencias de IAM para Cloud SQL
- Permisos necesarios para tareas comunes en la Google Cloud consola
- Permisos necesarios para los comandos de
gcloud sql - Permisos obligatorios para los métodos de la API de Cloud SQL Admin.
- Roles predefinidos de IAM en Cloud SQL
- Permisos y sus funciones
- Funciones personalizadas
Conceptos de autenticación de IAM
Cuando se usa la autenticación de IAM, el permiso para acceder a un recurso (una instancia de Cloud SQL) no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en roles, y los roles se otorgan a las principales autenticadas. Para obtener más información, consulta la descripción general de IAM.
Las políticas de IAM involucran las siguientes entidades:
- Principales En Cloud SQL, puedes usar dos tipos de principales: una cuenta de usuario y una cuenta de servicio (para aplicaciones). Si quieres obtener más información, consulta Conceptos relacionados con la identidad.
- Funciones. Un rol es un conjunto de permisos. Puedes otorgar roles a las principales a fin de proporcionarles los privilegios necesarios para realizar tareas específicas. Para obtener más información sobre los roles de IAM, consulta Roles.
- Recurso. Los recursos a los que acceden los principales son instancias de Cloud SQL. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que los principales reciban permisos de función para todas las instancias de Cloud SQL en el proyecto.