IAM を使用したアクセス制御

このページでは、Memorystore for Redis Cluster で使用できる Identity and Access Management ロールと、それらのロールに関連付けられた権限について説明します。Memorystore for Redis Cluster と Memorystore for Redis は、同じ IAM ロールを使用します。このロールにより Memorystore for Redis Cluster に付与される権限がこのページに示されています。このロールにより Memorystore for Redis に付与される権限は、Memorystore for Redis のアクセス制御ページに示されています。権限は両方のページに個別に示されていますが、ロールにより Memorystore for Redis Cluster と Memorystore for Redis の両方に権限が付与されます。

Memorystore for Redis Cluster は、Memorystore for Redis とは異なる権限命名構造を使用します。

  • Memorystore for Redis Cluster インスタンスは、redis.clusters.[PERMISSION] を使用します。
  • Memorystore for Redis インスタンスは、redis.instances.[PERMISSION] を使用します。

Redis 管理者ロールの詳細については、事前定義されたロールをご覧ください。

プロジェクトのユーザーにロールを付与する方法については、単一ロールの付与または取り消しをご覧ください。

事前定義されたロール

Memorystore for Redis Cluster では、次の事前定義ロールを使用できます。

ロール 名前 Redis の権限 説明

roles/owner

オーナー

redis.*

すべての Google Cloud リソースに対する完全アクセス権と制御。ユーザー アクセスの管理。

roles/editor

編集者 すべての redis 権限( *.getIamPolicy.setIamPolicy を除く) すべての Google Cloud リソースと Redis リソースに対する読み取り / 書き込みアクセス権(権限を変更する能力以外のすべての制御)

roles/viewer

閲覧者

redis.*.get redis.*.list

Redis リソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権

roles/redis.admin

Redis 管理者

redis.*

すべての Memorystore for Redis Cluster リソースに対する完全な制御

roles/redis.editor

Redis 編集者 以下を除くすべての Memorystore for Redis Cluster の権限

redis.clusters.create redis.clusters.delete redis.clusters.connect

Memorystore for Redis Cluster インスタンスを管理します。インスタンスの作成や削除はできません

roles/redis.viewer

Redis 閲覧者 以下を除くすべての redis 権限

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

すべての Memorystore for Redis Cluster リソースへの読み取り専用アクセス権。

roles/redis.dbConnectionUser

Redis データベース接続ユーザー

redis.clusters.connect

 IAM Auth で認証する必要があるユーザーに割り当てることができるロール

権限とロール

次の表は、Memorystore for Redis Cluster でサポートされる各権限と、それを含む Memorystore for Redis のロールを示したものです。

権限 Redis の役割 基本ロール

redis.clusters.list

Redis 管理者
Redis 編集者
Redis 閲覧者		 閲覧者

redis.clusters.get

Redis 管理者
Redis 編集者
Redis 閲覧者		 閲覧者

redis.clusters.create

Redis 管理者 Owner

redis.clusters.update

Redis 管理者
Redis 編集者		 編集者

redis.clusters.connect

Redis 管理者 Owner

カスタムロール

事前定義された役割がお客様特有のビジネス要件に合っていない場合は、任意に指定した権限を含むカスタムの役割を独自に定義できます。これをサポートするために、IAM にはカスタムの役割が用意されています。Memorystore for Redis Cluster のカスタムロールを作成する際は、resourcemanager.projects.getresourcemanager.projects.list の両方を含めるようにしてください。そのように設定しないと、Google Cloud コンソールは Memorystore for Redis Cluster に対して正しく機能しません。詳細については、権限の依存関係をご覧ください。 カスタムロールを作成する方法については、カスタムロールを作成するをご覧ください。

転送中の暗号化の権限

次の表に、Memorystore for Redis Cluster の転送中の暗号化を有効にして管理するために必要な権限を示します。

必要な権限 転送中の暗号化を使用する Memorystore インスタンスの作成 認証局をダウンロードする
redis.clusters.create X
redis.clusters.get X

ネットワーク接続ポリシーの作成ロール

このセクションで説明する権限は、ネットワーキング ページで説明されているように、Memorystore for Redis サービスのサービス接続ポリシーを確立しているネットワーク管理者に必要です。

Memorystore クラスタの作成に必要なポリシーを確立するには、ネットワーク管理者が networkconnectivity.googleapis.com/consumerNetworkAdmin ロールを持っている必要があります。このロールにより、次の権限が付与されます。

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update