Google Cloud 提供「身分與存取權管理」(IAM) 功能,可讓您授予使用者特定 Google Cloud 資源的存取權,並避免其他資源遭到未經授權者擅自存取。本頁面說明 Cloud SQL 如何與 IAM 整合。如需 Google Cloud IAM 的詳細說明,請參閱 IAM 說明文件。
Cloud SQL 提供一組預先定義的角色,方便您控管 Cloud SQL 資源的存取權。如果預先定義的角色未提供您需要的權限集,您也可以建立自己的自訂角色。此外,您仍可使用舊版基本角色 (編輯者、檢視者和擁有者),但這些角色無法提供與 Cloud SQL 角色相同的完善控管能力。特別是,基本角色提供的是跨 Google Cloud的資源存取權,而非僅限於 Cloud SQL。如要進一步瞭解基本 Google Cloud 角色,請參閱「基本角色」一文。
您可以在資源階層的任何層級設定 IAM 政策:機構層級、資料夾層級或專案層級。資源會繼承所有父項資源的政策。
Cloud SQL 的 IAM 參考資料
- Google Cloud 主控台中常見工作所需的權限
gcloud sql指令所需權限- Cloud SQL Admin API 方法所需的權限
- 預先定義的 Cloud SQL IAM 角色
- 權限與角色
- 自訂角色
IAM 驗證概念
使用 IAM 驗證時,系統不會「直接」將存取資源 (Cloud SQL 執行個體) 的權限授予使用者,而是將權限分組為「角色」,然後將角色授予「主體」。詳情請參閱 IAM 總覽。
IAM 政策涉及下列實體:
- 原理。在 Cloud SQL 中,您可以使用兩種主體:使用者帳戶和服務帳戶 (適用於應用程式)。詳情請參閱「與身分有關的概念」。
- 角色:角色是一組權限。您可以為實體授予角色,為其提供完成特定工作所需的權限。如要進一步瞭解身分與存取權管理 (IAM) 角色,請參閱「角色」。
- 資源:主要實體存取的資源是 Cloud SQL 執行個體。根據預設,IAM 政策繫結會套用至專案層級,讓主體獲得專案中所有 Cloud SQL 執行個體的角色權限。