Contrôle des accès avec IAM

Cette page décrit les rôles Identity and Access Management disponibles pour le cluster Memorystore pour Redis, ainsi que les autorisations associées à ces rôles. Le cluster Memorystore pour Redis et Memorystore pour Redis utilisent les mêmes rôles IAM. Les autorisations accordées par ces rôles pour le cluster Memorystore pour Redis sont répertoriées sur cette page. Les autorisations accordées par ces rôles à Memorystore pour Redis sont répertoriées sur la page Contrôle des accès à Memorystore. Bien que les autorisations soient répertoriées séparément sur les deux pages, les rôles accordent des autorisations à la fois pour le cluster Memorystore pour Redis et pour Memorystore pour Redis.

Le cluster Memorystore pour Redis utilise une structure de noms d'autorisations différente de celle de Memorystore pour Redis:

  • Les instances Memorystore pour un cluster Redis utilisent redis.clusters.[PERMISSION].
  • Les instances Memorystore pour Redis utilisent redis.instances.[PERMISSION].

Pour en savoir plus sur le rôle d'administrateur Redis, consultez Rôles prédéfinis.

Pour savoir comment attribuer le rôle à un utilisateur de votre projet, consultez Attribuer ou révoquer un seul rôle.

Rôles prédéfinis

Les rôles prédéfinis suivants sont disponibles pour le cluster Memorystore pour Redis:

Rôle Nom Autorisations Redis Description

roles/owner

Owner

redis.*

Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs

roles/editor

Éditeur Toutes les autorisations redis , à l'exception de *.getIamPolicy et .setIamPolicy Accès en lecture/écriture à toutes les ressources Google Cloud et Redis (contrôle total, hormis la possibilité de modifier les autorisations)

roles/viewer

Lecteur

redis.*.get redis.*.list

Accès en lecture seule à toutes les ressources Google Cloud, y compris les ressources Redis

roles/redis.admin

Administrateur Redis

redis.*

Contrôle complet de toutes les ressources du cluster Memorystore pour Redis.

roles/redis.editor

Éditeur Redis Toutes les autorisations du cluster Memorystore pour Redis, sauf

redis.clusters.create redis.clusters.delete redis.clusters.connect

Gérer des instances de cluster Memorystore pour Redis création ou suppression d'instances impossible

roles/redis.viewer

Lecteur Redis Toutes les autorisations redis, à l'exception de

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

Accès en lecture seule à toutes les ressources du cluster Memorystore pour Redis.

roles/redis.dbConnectionUser

Utilisateur de connexion à la base de données Redis

redis.clusters.connect

Rôle que vous pouvez attribuer aux utilisateurs qui doivent s'authentifier avec IAM Auth

Autorisations et rôles associés

Le tableau suivant répertorie toutes les autorisations compatibles avec le cluster Memorystore pour Redis, ainsi que les rôles Memorystore pour Redis qui l'incluent:

Permission Rôle Redis Rôle de base

redis.clusters.list

Administrateur Redis
Éditeur Redis
Lecteur Redis
Lecteur

redis.clusters.get

Administrateur Redis
Éditeur Redis
Lecteur Redis
Lecteur

redis.clusters.create

Administrateur Redis Owner

redis.clusters.update

Administrateur Redis
Éditeur Redis
Éditeur

redis.clusters.connect

Administrateur Redis Owner

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM. Lorsque vous créez des rôles personnalisés pour un cluster Memorystore pour Redis, veillez à inclure resourcemanager.projects.get et resourcemanager.projects.list. Sinon, la console Google Cloud ne fonctionnera pas correctement pour le cluster Memorystore pour Redis. Pour en savoir plus, consultez la section Dépendances d'autorisation. Pour savoir comment créer un rôle personnalisé, consultez la page Créer un rôle personnalisé.

Autorisations pour le chiffrement en transit

Le tableau ci-dessous présente les autorisations requises pour activer et gérer le chiffrement en transit pour le cluster Memorystore pour Redis.

Autorisations nécessaires Créer une instance Memorystore avec chiffrement en transit Télécharger l'autorité de certification
redis.clusters.create X
redis.clusters.get X

Rôle de création de règles de connectivité réseau

Les autorisations décrites dans cette section sont nécessaires pour l'administrateur réseau qui établit une règle de connexion au service pour le cluster Memorystore pour Redis, comme décrit sur la page Mise en réseau.

Pour établir la stratégie requise pour la création de clusters Memorystore, l'administrateur réseau doit disposer du rôle networkconnectivity.googleapis.com/consumerNetworkAdmin, qui accorde les autorisations suivantes:

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update