二、Cloud SQL数据库权限管理详解

数据库权限管理是保障数据安全的核心环节。Cloud SQL提供多层级的权限控制机制：

1. 管理访问层级

（1）IAM角色控制（项目级）

通过Google Cloud的IAM（Identity and Access Management）系统分配角色，决定用户能否创建、修改或查看Cloud SQL实例：

• roles/cloudsql.admin：完全管理权限
• roles/cloudsql.editor：修改实例但无权限分配
• roles/cloudsql.viewer：仅查看权限

# 示例：通过gcloud命令分配IAM角色
gcloud projects add-iam-policy-binding [PROJECT_ID] \
  --member="user:example@domain.com" \
  --role="roles/cloudsql.editor"

（2）数据库实例级权限

针对具体实例，可设置以下访问方式：

• 公网IP+SSL：限制允许连接的IP范围
• 私有IP：通过VPC网络隔离，仅允许内网访问

配置路径：Cloud SQL控制台 → 选择实例 → 连接标签页

2. 数据库用户权限（SQL层）

连接到数据库后，需通过SQL命令管理用户和权限：

MySQL示例：

-- 创建用户并指定访问源IP
CREATE USER 'report_user'@'192.168.%' IDENTIFIED BY 'password';

-- 授权仅读取特定数据库
GRANT SELECT ON analytics_db.* TO 'report_user'@'192.168.%';

-- 撤销权限
REVOKE INSERT ON sales_db.* FROM 'dev_user'@'%';

PostgreSQL示例：

-- 创建角色并赋予连接权限
CREATE ROLE read_only WITH LOGIN PASSWORD 'secure123';
GRANT CONNECT ON DATABASE inventory TO read_only;

-- 授予表只读权限
GRANT USAGE ON SCHEMA public TO read_only;
GRANT SELECT ON ALL TABLES IN SCHEMA public TO read_only;

3. 最佳实践建议

• 最小权限原则：用户仅获完成任务所需的最低权限
• 定期审计：利用Cloud SQL的数据库审计日志监控异常操作
• 自动化管理：通过Cloud SQL Admin API实现权限管理的CI/CD流程