Zugriffssteuerung mit IAM

Auf dieser Seite werden die Rollen für Identity and Access Management für Memorystore for Redis-Cluster und die zugehörigen Berechtigungen erläutert. Memorystore for Redis-Cluster und Memorystore for Redis verwenden dieselben IAM-Rollen. Die Berechtigungen, die diese Rollen für Memorystore for Redis-Cluster gewähren, sind auf dieser Seite aufgeführt. Die Berechtigungen, die diese Rollen für Memorystore for Redis gewähren, werden auf der Seite Memorystore for Redis-Zugriffssteuerung aufgeführt. Obwohl die Berechtigungen auf beiden Seiten separat aufgeführt sind, gewähren die Rollen sowohl für Memorystore for Redis-Cluster als auch für Memorystore for Redis Berechtigungen.

Memorystore for Redis-Cluster verwendet eine andere Berechtigungsnamensstruktur als Memorystore for Redis:

  • Memorystore for Redis-Clusterinstanzen verwenden redis.clusters.[PERMISSION].
  • Memorystore for Redis-Instanzen verwenden redis.instances.[PERMISSION].

Weitere Informationen zur Redis-Administratorrolle finden Sie unter Vordefinierte Rollen.

Informationen dazu, wie Sie einem Nutzer in Ihrem Projekt die Rolle zuweisen, finden Sie unter Einzelne Rolle zuweisen oder widerrufen.

Vordefinierte Rollen

Die folgenden vordefinierten Rollen sind für Memorystore for Redis-Cluster verfügbar:

Rolle Name Redis-Berechtigungen Beschreibung

roles/owner

Inhaber

redis.*

Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs

roles/editor

Editor Alle redis -Berechtigungen, außer für *.getIamPolicy .setIamPolicy Lese- und Schreibzugriff auf alle Google Cloud- und Redis-Ressourcen; vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern

roles/viewer

Betrachter

redis.*.get redis.*.list

Lesezugriff auf alle Google Cloud-Ressourcen, einschließlich Redis-Ressourcen

roles/redis.admin

Redis-Administrator

redis.*

Uneingeschränkte Kontrolle über alle Memorystore for Redis-Clusterressourcen.

roles/redis.editor

Redis-Bearbeiter Alle Memorystore for Redis-Clusterberechtigungen außer

redis.clusters.create redis.clusters.delete redis.clusters.connect

Memorystore for Redis-Clusterinstanzen verwalten. Kann keine Instanzen erstellen oder löschen.

roles/redis.viewer

Redis-Betrachter Alle redis-Berechtigungen außer

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

Lesezugriff auf alle Memorystore for Redis-Clusterressourcen.

roles/redis.dbConnectionUser

Nutzer der Redis-Datenbankverbindung

redis.clusters.connect

 Eine Rolle, die Sie Nutzern zuweisen können, die sich mit IAM-Authentifizierung authentifizieren müssen

Berechtigungen und ihre Rollen

In der folgenden Tabelle sind alle Berechtigungen aufgeführt, die Memorystore for Redis-Cluster unterstützt, sowie die Rollen für Memorystore for Redis, die diese enthalten:

Berechtigung Redis-Rolle Einfache Rolle

redis.clusters.list

Redis-Administrator
Redis-Bearbeiter
Redis-Betrachter		 Viewer

redis.clusters.get

Redis-Administrator
Redis-Bearbeiter
Redis-Betrachter		 Viewer

redis.clusters.create

Redis-Administrator Inhaber

redis.clusters.update

Redis-Administrator
Redis-Bearbeiter		 Editor

redis.clusters.connect

Redis-Administrator Inhaber

Benutzerdefinierte Rollen

Wenn die vordefinierten Rollen Ihren einmaligen Geschäftsanforderungen nicht gerecht werden, können Sie Ihre eigenen benutzerdefinierten Rollen definieren. Hierbei können Sie die gewünschten Berechtigungen definieren. Dafür bietet IAM benutzerdefinierte Rollen. Achten Sie beim Erstellen benutzerdefinierter Rollen für Memorystore for Redis-Cluster darauf, sowohl resourcemanager.projects.get als auch resourcemanager.projects.list anzugeben. Andernfalls funktioniert die Google Cloud Console für Memorystore for Redis-Cluster nicht richtig. Weitere Informationen finden Sie unter Berechtigungsabhängigkeiten. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rolle erstellen.

Berechtigungen für die Verschlüsselung während der Übertragung

Die folgende Tabelle zeigt die Berechtigungen, die zum Aktivieren und Verwalten der Verschlüsselung während der Übertragung für Memorystore for Redis-Cluster erforderlich sind.

Berechtigungen erforderlich Memorystore-Instanz mit Verschlüsselung während der Übertragung erstellen Zertifizierungsstelle herunterladen
redis.clusters.create X
redis.clusters.get X

Rolle zum Erstellen von Richtlinien für Netzwerkkonnektivität

Die in diesem Abschnitt beschriebenen Berechtigungen sind für den Netzwerkadministrator erforderlich, der eine Dienstverbindungsrichtlinie für Memorystore for Redis-Cluster erstellt, wie auf der Seite Netzwerk beschrieben.

Zum Festlegen der für die Erstellung des Memorystore-Clusters erforderlichen Richtlinie muss der Netzwerkadministrator die Rolle networkconnectivity.googleapis.com/consumerNetworkAdmin haben. Sie gewährt folgende Berechtigungen:

  • Networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • Networkconnectivity.serviceconnectionpolicies.update