יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

יצירה וניהול של משתמשים

‫MySQL | PostgreSQL | SQL Server

בדף הזה מוסבר איך להפעיל את האימות המובנה של Cloud SQL ואיך להשתמש בו.

סקירה כללית זמינה במאמר אימות מובנה של מסדי נתונים ב-Cloud SQL.

לפני שיוצרים משתמשים

יוצרים מכונה של Cloud SQL. מידע נוסף מופיע במאמר יצירת מופעים.
מפעילים מדיניות סיסמאות למופע. מידע נוסף זמין במאמר מדיניות סיסמאות של מופעים.
אם אתם מתכננים להשתמש בלקוח האדמין של מסד הנתונים כדי לנהל משתמשים, אתם צריכים לבצע את הפעולות הבאות:
1. מחברים את הלקוח למופע. אפשרויות חיבור לאפליקציות חיצוניות
2. מגדירים את המשתמש שמוגדר כברירת מחדל במופע על ידי הגדרת הסיסמה. איך מגדירים את הסיסמה לחשבון המשתמש שמוגדר כברירת מחדל

הגדרת הסיסמה לחשבון המשתמש שמוגדר כברירת מחדל

כשיוצרים מופע חדש של Cloud SQL, צריך להגדיר סיסמה לחשבון המשתמש שמוגדר כברירת מחדל לפני שמתחברים למופע.

ב-Cloud SQL ל-PostgreSQL, משתמש ברירת המחדל הוא postgres.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Cloud de Confiance .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות משתמשים.
מחפשים את המשתמש postgres ובתפריט 'עוד פעולות' בוחרים באפשרות שינוי הסיסמה.
מזינים סיסמה חזקה שקל לזכור ולוחצים על אישור.

gcloud

משתמשים בפקודה gcloud sql users set-password כדי להגדיר את הסיסמה למשתמש ברירת המחדל.

מחליפים את INSTANCE_NAME בשם המכונה לפני שמריצים את הפקודה.

gcloud sql users set-password postgres \
--instance=INSTANCE_NAME \
--prompt-for-password

REST v1

כדי לעדכן את הסיסמה של חשבון המשתמש שמוגדר כברירת מחדל, משתמשים בבקשת PUT עם השיטה users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי
‫user-id: מזהה המשתמש
‫password: הסיסמה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id

תוכן בקשת JSON:

{
  "name": "user-id",
  "password": "password"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

כדי לעדכן את הסיסמה של חשבון המשתמש שמוגדר כברירת מחדל, משתמשים בבקשת PUT עם השיטה users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי
‫user-id: מזהה המשתמש
‫password: הסיסמה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id

תוכן בקשת JSON:

{
  "name": "user-id",
  "password": "password"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

יצירת משתמש

אחרי הגדרת חשבון המשתמש שמוגדר כברירת מחדל, אפשר ליצור משתמשים אחרים.

כשיוצרים משתמש מובנה, אפשר להקצות לו תפקיד אחד או יותר במסד הנתונים.

כדי להקצות תפקיד מותאם אישית במסד נתונים למשתמש, צריך קודם ליצור את התפקיד במסד הנתונים של PostgreSQL. כדי ליצור תפקיד ב-PostgreSQL, אפשר לעיין במאמר בנושא תפקידים במסד נתונים.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Cloud de Confiance .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות משתמשים.
לוחצים על הוספת חשבון משתמש.
בדף Add a user account to instance instance_name, אפשר לבחור אם המשתמש יאומת באמצעות שיטת מסד הנתונים המובנית (שם משתמש וסיסמה) או כמשתמש IAM.
בוחרים באפשרות אימות מובנה (ברירת המחדל) ומוסיפים את הפרטים הבאים:
- שם משתמש.
- זה שינוי אופציונלי. סיסמה. צריך להזין סיסמה חזקה שקל לזכור.
לוחצים על הוספה.

אם יוצרים משתמש PostgreSQL שמשתמש באימות מובנה, המשתמש מקבל את התפקיד cloudsqlsuperuser באופן אוטומטי. למשתמש מוקצות ההרשאות הבאות שמשויכות לתפקיד הזה: CREATEROLE,‏ CREATEDB ו-LOGIN.

אם רוצים לשנות את ההרשאות של המשתמש, אפשר ליצור ולהקצות תפקיד או תפקידים מותאמים אישית במסד הנתונים של PostgreSQL כשיוצרים את המשתמש ב-Cloud SQL. אם מקצים תפקיד אחד או יותר של מסד נתונים בהתאמה אישית כשיוצרים את המשתמש ב-Cloud SQL, למשתמש לא מוקצה התפקיד cloudsqlsuperuser.

אם אתם צריכים לשנות את המאפיינים של המשתמשים האלה, אתם יכולים להשתמש בפקודה ALTER ROLE בלקוח psql. אי אפשר לשנות את כל המאפיינים באמצעות ALTER ROLE. חריגים כוללים את התפקידים NOSUPERUSER ו-NOREPLICATION.

מידע נוסף על חשבונות משתמשים והרשאות זמין במאמר חשבונות משתמשים אחרים ב-PostgreSQL.

gcloud

כדי ליצור משתמש, משתמשים בפקודה gcloud sql users create.

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫INSTANCE_NAME: השם של המכונה.
‫PASSWORD: הסיסמה של המשתמש.
‫ROLE_1, ROLE_2 ..., ROLE_N: אופציונלי. התפקיד או התפקידים במסד הנתונים שרוצים להקצות למשתמש.

gcloud sql users create USER_NAME \
--instance=INSTANCE_NAME \
--password=PASSWORD \
--database-roles=ROLE_1, ROLE_2, ..., ROLE_N

מידע נוסף על חשבונות משתמשים והרשאות זמין במאמר חשבונות משתמשים אחרים ב-PostgreSQL.

מגבלות האורך של שמות המשתמשים ב-Cloud SQL זהות למגבלות האורך של שמות המשתמשים ב-PostgreSQL מקומי.

כשיוצרים משתמש, אפשר להוסיף פרמטרים של מדיניות סיסמאות למשתמשים.

Terraform

כדי ליצור משתמש, משתמשים במשאב של Terraform.

resource "random_password" "pwd" {
  length  = 16
  special = false
}

resource "google_sql_user" "user" {
  name     = "user"
  instance = google_sql_database_instance.default.name
  password = random_password.pwd.result
}

אפשר גם ליצור משתמש ולהקצות לו תפקידים במסד הנתונים.

resource "google_sql_user" "builtin_user" {
  name     = "test-user1"
  password = "password"
  instance = google_sql_database_instance.default.name
  # Specify the list of database roles to be granted to the user
  # The database roles must exist in the database.
  database_roles = ["cloudsqlsuperuser"]
}

החלה של השינויים

כדי להחיל את ההגדרות של Terraform בפרויקט ב- Cloud de Confiance , מבצעים את השלבים בקטעים הבאים.

הכנת Cloud Shell

מפעילים את Cloud Shell.
מגדירים את פרויקט ברירת המחדל שבו רוצים להחיל את ההגדרות של Terraform. Cloud de Confiance

תצטרכו להריץ את הפקודה הזו רק פעם אחת לכל פרויקט, ותוכלו לעשות זאת בכל ספרייה.
```
export GOOGLE_CLOUD_PROJECT=PROJECT_ID
```
אם תגדירו ערכים ספציפיים בקובץ התצורה של Terraform, הם יבטלו את ערכי ברירת המחדל של משתני הסביבה.

הכנת הספרייה

לכל קובץ תצורה של Terraform צריכה להיות ספרייה משלו (שנקראת גם מודול ברמה הבסיסית).

יוצרים ספרייה חדשה ב-Cloud Shell ובה יוצרים קובץ חדש. שם הקובץ חייב לכלול את הסיומת .tf, למשל main.tf. במדריך הזה, הקובץ נקרא main.tf.
```
mkdir DIRECTORY && cd DIRECTORY && touch main.tf
```
אם אתם עוקבים אחרי המדריך, תוכלו להעתיק את הקוד לדוגמה בכל קטע או שלב.

מעתיקים את הקוד לדוגמה בקובץ main.tf החדש שיצרתם.

לחלופין, אפשר גם להעתיק את הקוד מ-GitHub. כדאי לעשות את זה כשקטע הקוד של Terraform הוא חלק מפתרון מקצה לקצה.
בודקים את הפרמטרים לדוגמה ומשנים אותם בהתאם לסביבה שלכם.
שומרים את השינויים.
מפעילים את Terraform. צריך לעשות זאת רק פעם אחת לכל ספרייה.
```
terraform init
```
אופציונלי: תוכלו לכלול את האפשרות -upgrade, כדי להשתמש בגרסה העדכנית ביותר של הספק של Google:
```
terraform init -upgrade
```

החלה של השינויים

בודקים את ההגדרות ומוודאים שהמשאבים שמערכת Terraform תיצור או תעדכן תואמים לציפיות שלכם:
```
terraform plan
```
מתקנים את ההגדרות לפי הצורך.
מריצים את הפקודה הבאה ומזינים yes בהודעה שמופיעה, כדי להחיל את הגדרות Terraform:
```
terraform apply
```
ממתינים עד שב-Terraform תוצג ההודעה "Apply complete!‎".
פותחים את Cloud de Confiance הפרויקט כדי לראות את התוצאות. במסוף Cloud de Confiance , נכנסים למשאבים בממשק המשתמש כדי לוודא שהם נוצרו או עודכנו ב-Terraform.

מחיקת השינויים

כדי למחוק את השינויים:

כדי להשבית את ההגנה מפני מחיקה, בקובץ התצורה של Terraform מגדירים את הארגומנט deletion_protection לערך false.
```
deletion_protection =  "false"
```
מריצים את הפקודה הבאה ומזינים yes בהודעה שמופיעה, כדי להחיל את הגדרות Terraform המעודכנות:
```
terraform apply
```

כדי להסיר משאבים שהוחלו בעבר על הגדרות Terraform, מריצים את הפקודה הבאה ומזינים yes בהודעה שמופיעה:
```
terraform destroy
```

REST v1

כדי ליצור משתמש, משתמשים בבקשת POST עם השיטה users:insert.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש
‫ROLE_1, ROLE_2 ..., ROLE_N: אופציונלי. התפקיד או התפקידים במסד הנתונים שיוקצו למשתמש

ה-method של ה-HTTP וכתובת ה-URL:

POST https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "databaseRoles": [
    "ROLE_1",
    "ROLE_2"
  ]
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

מידע נוסף על חשבונות משתמשים והרשאות זמין במאמר חשבונות משתמשים אחרים ב-PostgreSQL.

מגבלות האורך של שמות המשתמשים ב-Cloud SQL זהות למגבלות האורך של שמות המשתמשים ב-PostgreSQL מקומי.

כשיוצרים משתמש, אפשר להוסיף פרמטרים של מדיניות סיסמאות למשתמשים.

REST v1beta4

כדי ליצור משתמש, משתמשים בבקשת POST עם השיטה users:insert.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש
‫ROLE_1, ROLE_2 ..., ROLE_N: אופציונלי. התפקיד או התפקידים במסד הנתונים שיוקצו למשתמש

ה-method של ה-HTTP וכתובת ה-URL:

POST https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "databaseRoles": [
    "ROLE_1",
    "ROLE_2"
  ]
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "CREATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

מידע נוסף על חשבונות משתמשים והרשאות זמין במאמר חשבונות משתמשים אחרים ב-PostgreSQL.

מגבלות האורך של שמות המשתמשים ב-Cloud SQL זהות למגבלות האורך של שמות המשתמשים ב-PostgreSQL מקומי.

כשיוצרים משתמש, אפשר להוסיף פרמטרים של מדיניות סיסמאות למשתמשים.

לקוח psql

בשורת הפקודה psql, יוצרים את המשתמש:
```
  CREATE USER USER_NAME
      WITH PASSWORD PASSWORD
      ATTRIBUTE1
      ATTRIBUTE2...;
  
```
מזינים את הסיסמה כשמוצגת בקשה לעשות זאת.

מידע נוסף על מאפייני תפקידים זמין ב מאמרי העזרה של PostgreSQL.

הערה: כשמשתמשים ב-EXTENSION pg_stat_statements, הצהרות SQL מכל המשתמשים גלויות למשתמשים עם תפקיד cloudsqlsuperuser (ב-PostgreSQL מגרסה 10 ומעלה). אל תשתמשו בסיסמאות בטקסט פשוט בשאילתות.
כדי לוודא שהמשתמש נוצר, אפשר להציג את טבלת המשתמשים:
```
  SELECT * FROM pg_roles;
  
```

הגדרת מדיניות סיסמאות למשתמשים

אתם יכולים להגדיר מדיניות סיסמאות באמצעות סוג האימות המובנה.

gcloud

כדי להגדיר את מדיניות הסיסמאות של המשתמש, משתמשים בפקודה gcloud sql users set-password-policy.

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫INSTANCE_NAME: השם של המכונה.
‫HOST: שם המארח של המשתמש ככתובת IP ספציפית, כטווח כתובות או כמארח כלשהו (%).
PASSWORD_POLICY_ALLOWED_FAILED_ATTEMPTS: אופציונלי: מספר הפעמים שמשתמש יכול לנסות להזין את הסיסמה בצורה שגויה לפני שהחשבון ננעל. משתמשים ב---password-policy-enable-failed-attempts-check כדי להפעיל את הבדיקה וב---no-password-policy-enable-failed-attempts-check כדי להשבית אותה.
‫PASSWORD_POLICY_PASSWORD_EXPIRATION_DURATION: אופציונלי: מציינים את מספר הימים שאחריהם תוקף הסיסמה יפוג והמשתמש יצטרך ליצור סיסמה חדשה.

gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--password-policy-enable-failed-attempts-check \
--password-policy-allowed-failed-attempts=PASSWORD_POLICY_ALLOWED_FAILED_ATTEMPTS \
--password-policy-password-expiration-duration=PASSWORD_POLICY_PASSWORD_EXPIRATION_DURATION

כדי להסיר מדיניות סיסמאות של משתמש, משתמשים בפרמטר --clear-password-policy.

gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--clear-password-policy

כדי לראות את מדיניות הסיסמאות של המשתמש, אפשר לעיין במאמר בנושא רשימת משתמשים.

REST v1

כדי להגדיר מדיניות סיסמאות למשתמשים, משתמשים בבקשת PUT עם ה-method ‏ users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש
‫FAILED_ATTEMPTS_CHECK: מוגדר ל-true כדי להפעיל בדיקה של מספר הניסיונות הכושלים להיכנס לחשבון, שאחריהם החשבון ננעל
NUMBER_OF_ATTEMPTS: מספר הניסיונות הכושלים להתחבר שאחריהם החשבון ננעל
‫PASSWORD_EXPIRATION_DURATION: מספר הימים שאחריהם הסיסמה פגה והמשתמש צריך ליצור סיסמה חדשה

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {
      {
        "enableFailedAttemptsCheck" : "FAILED_ATTEMPTS_CHECK",
        "allowedFailedAttempts" : "NUMBER_OF_ATTEMPTS",
        "passwordExpirationDuration" : "PASSWORD_EXPIRATION_DURATION"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2021-11-02T19:12:08.132Z",
  "startTime": "2021-11-02T19:12:08.132Z",
  "endTime": "2021-11-02T19:12:09.125Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

כדי לראות את מדיניות הסיסמאות של המשתמש, אפשר לעיין במאמר בנושא רשימת משתמשים.

REST v1beta4

כדי להגדיר מדיניות סיסמאות למשתמשים, משתמשים בבקשת PUT עם ה-method ‏ users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש
‫FAILED_ATTEMPTS_CHECK: מוגדר ל-true כדי להפעיל בדיקה של מספר הניסיונות הכושלים להיכנס לחשבון, שאחריהם החשבון ננעל
NUMBER_OF_ATTEMPTS: מספר הניסיונות הכושלים להתחבר שאחריהם החשבון ננעל
‫PASSWORD_EXPIRATION_DURATION: מספר הימים שאחריהם הסיסמה פגה והמשתמש צריך ליצור סיסמה חדשה

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {
      {
        "enableFailedAttemptsCheck" : "FAILED_ATTEMPTS_CHECK",
        "allowedFailedAttempts" : "NUMBER_OF_ATTEMPTS",
        "passwordExpirationDuration" : "PASSWORD_EXPIRATION_DURATION"
      }
    },
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2021-11-02T19:12:08.132Z",
  "startTime": "2021-11-02T19:12:08.132Z",
  "endTime": "2021-11-02T19:12:09.125Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

כדי לראות את מדיניות הסיסמאות של המשתמש, אפשר לעיין במאמר בנושא רשימת משתמשים.

הצגת רשימת משתמשים

המסוף

נכנסים לדף Cloud SQL Instances במסוף Cloud de Confiance .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות משתמשים.

gcloud

כדי להציג את רשימת המשתמשים של המופע הזה, משתמשים בפקודה gcloud sql users list:

gcloud sql users list \
--instance=INSTANCE_NAME

הפקודה מחזירה את Name, Host ואת Type של כל משתמש.

בנוסף, עבור סוג האימות המובנה, מוחזרות ההגדרות והסטטוס של מדיניות הסיסמאות. לדוגמה:

    NAME    HOST    TYPE        PASSWORD_POLICY
    user1           BUILT_IN    {'allowedFailedAttempts': 2,
                                 'enableFailedAttemptsCheck': True,
                                 'passwordExpirationDuration': '7d',
                                 'status': {
                                   'locked': True,
                                   'passwordExpirationTime': '2022-07-01T19:53:45.822742904Z'
                                 }
                                }

REST v1

כדי להציג רשימה של המשתמשים שהוגדרו למופע, משתמשים בבקשת GET עם השיטה users:list.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#usersList",
  "items": [
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "sqlserver",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-1",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-2",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      ...
    },
    {
      ...
    }
  ]
}

אם הוגדרה מדיניות סיסמאות למשתמשים, הקטע items בתשובה כולל את הקטע passwordPolicy. בדוגמת הקוד הבאה מוצג הקטע passwordPolicy.

  {
  ...
  "passwordValidationUserPolicy" : {
    {
      "enableFailedAttemptsCheck" : true,
      "allowedFailedAttempts" : 8,
      "passwordExpirationDuration" : "7d"
    }
  },
  ...
}

REST v1beta4

כדי להציג רשימה של המשתמשים שהוגדרו למופע, משתמשים בבקשת GET עם השיטה users:list.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי

ה-method של ה-HTTP וכתובת ה-URL:

GET https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#usersList",
  "items": [
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "sqlserver",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-1",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      "kind": "sql#user",
      "etag": "--redacted--",
      "name": "user-id-2",
      "host": "",
      "instance": "instance-id",
      "project": "project-id",
      "sqlserverUserDetails": {
        "serverRoles": [
          "CustomerDbRootRole"
        ]
      }
    },
    {
      ...
    },
    {
      ...
    }
  ]
}

  {
  ...
  "passwordValidationUserPolicy" : {
    {
      "enableFailedAttemptsCheck" : true,
      "allowedFailedAttempts" : 8,
      "passwordExpirationDuration" : "7d"
    }
  },
  ...
}

לקוח psql

בהנחיה psql, מפרטים את משתמשי PostgreSQL:

SELECT * FROM pg_roles;

הערה: אי אפשר להשתמש במסוף Cloud de Confiance או ב-gcloud כדי להציג משתמשי מערכת.

הוספת תפקידים במסד נתונים למשתמש קיים

אחרי שיוצרים משתמש מובנה, אפשר להקצות לו תפקידים נוספים. התפקידים האלה מתווספים לתפקידים הקיימים של המשתמשים, ולא מחליפים את קבוצת התפקידים הקיימת שהוקצתה לחשבון המשתמש.

כדי להקצות תפקיד למשתמש ב-Cloud SQL ל-PostgreSQL, התפקיד צריך כבר להתקיים. אם אתם משתמשים בתפקיד בהתאמה אישית, אתם צריכים ליצור את התפקיד קודם במסד הנתונים של PostgreSQL.

כדי ליצור תפקיד ב-PostgreSQL, אפשר לעיין במאמר בנושא תפקידים במסד נתונים.

אי אפשר להקצות למשתמשי PostgreSQL קיימים אף אחד מתפקידי המערכת המוגדרים מראש שמופיעים במאמר תפקידי מערכת ומשתמשים ב-Cloud SQL, למעט התפקיד cloudsqlsuperuser.

gcloud

כדי להקצות תפקידים למשתמש, משתמשים בפקודה gcloud sql users assign-roles.

gcloud sql users assign-roles USER_NAME \
--instance=INSTANCE_NAME \
--type=BUILT-IN \
--database-roles=ROLE_1, ROLE_2, ..., ROLE_N

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫INSTANCE_NAME: השם של המכונה.
‫ROLE_1, ROLE_2, ..., ROLE_N: התפקיד או התפקידים במסד הנתונים שיוקצו למשתמש.

REST v1

כדי לעדכן משתמש, משתמשים בבקשת PUT עם השיטה users:update.

כשמקצים תפקידים במסד הנתונים, אפשר לעדכן פרמטרים של מדיניות הסיסמאות של המשתמשים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
‫USER_ID: מזהה המשתמש
‫ROLE_1, ‏ ROLE_2 ..., ‏ ROLE_N: התפקיד או התפקידים במסד הנתונים שרוצים להקצות למשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "type": "BUILT-IN",
  "databaseRoles": [
   "ROLE_1",
   "ROLE_2"
  ]
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

כדי לעדכן משתמש, משתמשים בבקשת PUT עם השיטה users:update.

כשמקצים תפקידים במסד הנתונים, אפשר לעדכן פרמטרים של מדיניות הסיסמאות של המשתמשים.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
‫USER_ID: מזהה המשתמש
‫ROLE_1, ‏ROLE_2, ‏..., ‏ROLE_N: התפקיד או התפקידים במסד הנתונים שרוצים להקצות למשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "type": "BUILT-IN",
  "databaseRoles": [
   "ROLE_1",
   "ROLE_2"
  ]
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

החלפת תפקידי מסד נתונים של משתמש קיים

אם רוצים להחליף או להסיר תפקידים במסד הנתונים מהמשתמש, צריך לבטל את כל התפקידים הקיימים שלו ולציין תפקידים חדשים במסד הנתונים, אם יש כאלה.

כברירת מחדל, כשיוצרים משתמש מובנה ב-PostgreSQL, המערכת מעניקה למשתמש את התפקיד cloudsqlsuperuser באופן אוטומטי. אם לא רוצים שהמשתמש ימשיך לקבל את התפקיד cloudsqlsuperuser, צריך לבטל את התפקידים הקיימים של המשתמש.

gcloud

כדי להחליף את תפקידי מסד הנתונים של משתמש, מבטלים את התפקידים הקיימים של המשתמש ומקצים תפקידים חדשים. כדי להחליף את התפקידים במסד הנתונים של משתמש, משתמשים בפקודה gcloud sql users assign-roles הבאה.

gcloud sql users assign-roles USER_NAME \
--instance=INSTANCE_NAME \
--database-roles=ROLE_1,ROLE_2 \
--revoke-existing-roles

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫HOST: שם המארח של המשתמש ככתובת IP ספציפית, כטווח כתובות או כמארח כלשהו (%).
‫INSTANCE_NAME: השם של המכונה.
‫ROLE_1, ROLE_2: תפקיד או תפקידים חדשים במסד הנתונים שיוקצו למשתמש.

אפשר גם לבטל את התפקידים הקיימים של משתמש ולהקצות לו אפס תפקידים. לדוגמה:

gcloud sql users assign-roles USER_NAME \
--instance=INSTANCE_NAME \
--database-roles= \
--revoke-existing-roles

REST v1

כדי לעדכן משתמש, משתמשים בבקשת PUT עם השיטה users:update.

כשמחליפים את תפקידי המשתמש במסד הנתונים, אפשר לעדכן את הפרמטרים של מדיניות הסיסמאות של המשתמש באותה בקשת API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
‫USER_ID: מזהה המשתמש
‫ROLE_1, ‏ROLE_2 ..., ‏ROLE_N: התפקיד או התפקידים החדשים במסד הנתונים שרוצים להקצות למשתמש. אפשר גם לציין רשימה ריקה.

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "type": "BUILT-IN",
  "databaseRoles": [
   "ROLE_1",
   "ROLE_2"
  ],
  "revokeExistingRoles": true
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

כדי לעדכן משתמש, משתמשים בבקשת PUT עם השיטה users:update.

כשמחליפים את תפקידי המשתמש במסד הנתונים, אפשר לעדכן את הפרמטרים של מדיניות הסיסמאות של המשתמש באותה בקשת API.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
‫USER_ID: מזהה המשתמש
‫ROLE_1, ‏ROLE_2, ‏..., ‏ROLE_N: התפקיד או התפקידים החדשים במסד הנתונים שיוקצו למשתמש. אפשר גם לציין רשימה ריקה.

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "type": "BUILT-IN",
  "databaseRoles": [
   "ROLE_1",
   "ROLE_2"
  ],
  "revokeExistingRoles": true
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2025-10-20T22:44:16.656Z",
  "startTime": "2025-10-20T22:44:16.686Z",
  "endTime": "2025-10-20T22:44:20.437Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

שינוי סיסמה של משתמש

אפשר לשנות את הסיסמאות של המשתמשים באחת מהדרכים הבאות.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Cloud de Confiance .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות משתמשים.
לוחצים על סמל האפשרויות הנוספות ליד המשתמש שרוצים לעדכן.
בוחרים באפשרות שינוי הסיסמה.
מציינים סיסמה חדשה.
לוחצים על OK.

gcloud

משתמשים בפקודה gcloud sql users set-password כדי לשנות סיסמה.

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫INSTANCE_NAME: השם של המכונה.

gcloud sql users set-password USER_NAME \
--instance=INSTANCE_NAME \
--prompt-for-password

REST v1

כדי לשנות סיסמה של משתמש, משתמשים בבקשת PUT עם השיטה users:update.

הבקשה הבאה מעדכנת את הסיסמה של חשבון המשתמש user_name.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי
‫user-id: מזהה המשתמש
‫password: הסיסמה החדשה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id

תוכן בקשת JSON:

{
  "name": "user-id",
  "password": "password"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id/users?name=user-id" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

REST v1beta4

כדי לשנות סיסמה של משתמש, משתמשים בבקשת PUT עם השיטה users:update.

הבקשה הבאה מעדכנת את הסיסמה של חשבון המשתמש user_name.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫project-id: מזהה הפרויקט
‫instance-id: מזהה המכונה הרצוי
‫user-id: מזהה המשתמש
‫password: הסיסמה החדשה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id

תוכן בקשת JSON:

{
  "name": "user-id",
  "password": "password"
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id/users?name=user-id" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/instances/instance-id",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "UPDATE_USER",
  "name": "operation-id",
  "targetId": "instance-id",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/project-id/operations/operation-id",
  "targetProject": "project-id"
}

לקוח psql

בשורת הפקודה psql, מריצים את הפקודה ALTER USER.

ביטול הנעילה של המשתמש.
```
ALTER USER USER_NAME WITH LOGIN;
```
משנים את הסיסמה ומזינים אותה כשמוצגת בקשה לעשות זאת.
```
ALTER USER USER_NAME WITH PASSWORD PASSWORD;
```
הערה: כשמשתמשים ב-EXTENSION pg_stat_statements, הצהרות SQL מכל המשתמשים גלויות למשתמשים עם התפקיד cloudsqlsuperuser (ב-PostgreSQL בגרסה 10 ומעלה). אל תשתמשו בסיסמאות בטקסט פשוט בשאילתות.

אם משתמש ננעל בגלל הגדרות מדיניות הסיסמאות, צריך לשנות את הסיסמה כדי לבטל את הנעילה. מוודאים שהסיסמאות, כשהן משתנות, עומדות במדיניות הסיסמאות.

הסרה של מדיניות סיסמאות למשתמשים

אפשר להסיר מדיניות סיסמאות ממשתמש שהוגדר לו סוג אימות מובנה.

gcloud

כדי להסיר את מדיניות הסיסמאות של המשתמש, משתמשים בפקודה gcloud sql users set-password-policy ובפרמטר --clear-password-policy.

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש
‫INSTANCE_NAME: השם של המכונה
‫HOST: שם המארח של המשתמש ככתובת IP ספציפית, כטווח כתובות או כמארח כלשהו (%)

gcloud sql users set-password-policy USER_NAME \
--instance=INSTANCE_NAME \
--host=HOST \
--clear-password-policy

REST v1

כדי להסיר מדיניות סיסמאות של משתמש, משתמשים בבקשת PUT עם השיטה users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {}
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2021-11-02T19:12:08.132Z",
  "startTime": "2021-11-02T19:12:08.132Z",
  "endTime": "2021-11-02T19:12:09.125Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

כדי להסיר מדיניות סיסמאות של משתמש, משתמשים בבקשת PUT עם השיטה users:update.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה
‫USER_ID: מזהה המשתמש
‫PASSWORD: הסיסמה של המשתמש

ה-method של ה-HTTP וכתובת ה-URL:

PUT https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID

תוכן בקשת JSON:

{
  "name": "USER_ID",
  "password": "PASSWORD",
  "data":
  {
    "passwordValidationUserPolicy" : {}
  }
}

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

curl -X PUT \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID"

‎PowerShell (Windows)

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method PUT `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?name=USER_ID" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

תשובה

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2021-11-02T19:12:08.132Z",
  "startTime": "2021-11-02T19:12:08.132Z",
  "endTime": "2021-11-02T19:12:09.125Z",
  "operationType": "UPDATE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

הסרת משתמש

משתמש ברירת המחדל יכול להסיר משתמשים.

לפני שמסירים משתמש, צריך להסיר את כל האובייקטים שבבעלותו או להקצות מחדש את הבעלות עליהם, ולבטל את כל ההרשאות שהתפקיד קיבל על אובייקטים אחרים.

המסוף

נכנסים לדף Cloud SQL Instances במסוף Cloud de Confiance .

כניסה לדף Cloud SQL Instances
כדי לפתוח את הדף סקירה כללית של מכונה, לוחצים על שם המכונה.
בתפריט הניווט של SQL, בוחרים באפשרות משתמשים.
לוחצים על סמל האפשרויות הנוספות ליד המשתמש שרוצים להסיר.
לוחצים על הסרה ואז שוב על הסרה.

gcloud

כדי להסיר משתמש, משתמשים בפקודה gcloud sql users delete.

מחליפים את מה שכתוב בשדות הבאים:

‫USER_NAME: שם המשתמש.
‫INSTANCE_NAME: השם של המכונה.

gcloud sql users delete USER_NAME \
--instance=INSTANCE_NAME

REST v1

בדוגמה הבאה נעשה שימוש בשיטה users:delete כדי למחוק את חשבון המשתמש שצוין.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
USERNAME: כתובת האימייל של המשתמש או של חשבון השירות

ה-method של ה-HTTP וכתובת ה-URL:

DELETE https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "DELETE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/v1/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

REST v1beta4

בדוגמה הבאה נעשה שימוש בשיטה users:delete כדי למחוק את חשבון המשתמש שצוין.

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫PROJECT_ID: מזהה הפרויקט
‫INSTANCE_ID: מזהה המכונה הרצוי
USERNAME: כתובת האימייל של המשתמש או של חשבון השירות

ה-method של ה-HTTP וכתובת ה-URL:

DELETE https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

מריצים את הפקודה הבאה:

curl -X DELETE \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME"

‎PowerShell (Windows)

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method DELETE `
    -Headers $headers `
    -Uri "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID/users?host=&name=USERNAME" | Select-Object -Expand Content

אתם אמורים לקבל תגובת JSON שדומה לזו:

{
  "kind": "sql#operation",
  "targetLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/instances/INSTANCE_ID",
  "status": "DONE",
  "user": "user@example.com",
  "insertTime": "2020-02-07T22:38:41.217Z",
  "startTime": "2020-02-07T22:38:41.217Z",
  "endTime": "2020-02-07T22:38:44.801Z",
  "operationType": "DELETE_USER",
  "name": "OPERATION_ID",
  "targetId": "INSTANCE_ID",
  "selfLink": "https://sqladmin.googleapis.com/sql/v1beta4/projects/PROJECT_ID/operations/OPERATION_ID",
  "targetProject": "PROJECT_ID"
}

לקוח psql

בשורת הפקודה psql, מוחקים את המשתמש:
```
DROP ROLE USER_NAME;
```
מידע נוסף על ההצהרה DROP ROLE זמין ב מסמכי התיעוד של PostgreSQL.

עדכון מאפייני משתמש

כדי לעדכן מאפייני משתמש כמו מאפיינים, צריך להשתמש בלקוח psql. מידע נוסף זמין במאמר בנושא תפקידים במסד נתונים במאמרי העזרה של PostgreSQL.

הערה: כשמשתמשים ב-EXTENSION pg_stat_statements, הצהרות SQL מכל המשתמשים גלויות למשתמשים עם תפקיד cloudsqlsuperuser (ב-PostgreSQL מגרסה 10 ומעלה). אל תשתמשו בסיסמאות בטקסט פשוט בשאילתות.