二、Cloud SQL數據庫權限管理詳解

數據庫權限管理是保障數據安全的核心環節。Cloud SQL提供多層級的權限控制機制：

1. 管理訪問層級

（1）IAM角色控制（項目級）

通過Google Cloud的IAM（Identity and Access Management）系統分配角色，決定用戶能否創建、修改或查看Cloud SQL實例：

• roles/cloudsql.admin：完全管理權限
• roles/cloudsql.editor：修改實例但無權限分配
• roles/cloudsql.viewer：僅查看權限

# 示例：通過gcloud命令分配IAM角色
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member="user:example@domain.com" \
  --role="roles/cloudsql.editor"

（2）數據庫實例級權限

針對具體實例，可設置以下訪問方式：

• 公網IP+SSL：限制允許連接的IP范圍
• 私有IP：通過VPC網絡隔離，僅允許內網訪問

配置路徑：Cloud SQL控制臺 → 選擇實例 → 連接標簽頁

2. 數據庫用戶權限（SQL層）

連接到數據庫后，需通過SQL命令管理用戶和權限：

MySQL示例：

-- 創建用戶并指定訪問源IP
CREATE USER 'report_user'@'192.168.%' IDENTIFIED BY 'password';

-- 授權僅讀取特定數據庫
GRANT SELECT ON analytics_db.* TO 'report_user'@'192.168.%';

-- 撤銷權限
REVOKE INSERT ON sales_db.* FROM 'dev_user'@'%';

PostgreSQL示例：

-- 創建角色并賦予連接權限
CREATE ROLE read_only WITH LOGIN PASSWORD 'secure123';
GRANT CONNECT ON DATABASE inventory TO read_only;

-- 授予表只讀權限
GRANT USAGE ON SCHEMA public TO read_only;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only;

3. 最佳實踐建議

• 最小權限原則：用戶僅獲完成任務所需的最低權限
• 定期審計：利用Cloud SQL的數據庫審計日志監控異常操作
• 自動化管理：通過Cloud SQL Admin API實現權限管理的CI/CD流程