我有一个运行 MySQL 的 Google Cloud SQL 服务器,技术知识不多的用户使用它来将 csv 导入 MySQL 数据库。他们使用内置于 GC SQL 中的导入功能。但是,有几个数据库,我想限制每个用户对数据库的访问。
这是我参考的菜单:https://i.imgur.com/LyX7Wbk.png
我已经尝试过分配访问权限较少的 IAM 角色,但除 SQL Admin 之外的所有内容都使导入选项变灰。 SQL 管理员提供了完全访问权限,甚至可以删除实例,因此绝对不是一个选项。
任何帮助将不胜感激。
你不能。实际上,IAM 角色允许您控制对 GCP 组件的访问。在这里,您的要求是管理访问特定数据库模式的用户,这是 DBA 的角色。
唯一的解决方案是在 Google API 之上构建一些东西来限制/控制访问。
我意识到这是一个老问题,但你可以通过限制访问。 IAM Conditions 以特定资源名称为目标(或者更好,使用 Tags)。这样,您可以授予仅适用于特定资源的特定权限。您可能需要创建一个仅具有这些权限(例如更新、连接等)的自定义角色,因为默认的 Cloud SQL 权限有点宽泛。
不幸的是,这并不能完全解决配置资源的问题,因为您需要更广泛的权限来创建资源,但是一旦应用了标签,您就可以更精细地管理它。
另一个选择是拥有一个真正细粒度的 GCP 层次结构并在不同的项目/组级别应用权限,但显然这会成为维护的噩梦。
