Controllo dell'accesso con IAM

Questa pagina spiega i ruoli di Identity and Access Management disponibili per il cluster Memorystore for Redis e le autorizzazioni associate per questi ruoli. Cluster Memorystore per Redis e Memorystore for Redis utilizzano gli stessi ruoli IAM. In questa pagina sono elencate le autorizzazioni concesse da questi ruoli per il cluster Memorystore for Redis. Le autorizzazioni concesse da questi ruoli per Memorystore for Redis sono elencate nella pagina Memorystore for Redis Access control. Anche se le autorizzazioni sono elencate separatamente in entrambe le pagine, i ruoli concedono le autorizzazioni sia per il cluster Memorystore for Redis sia per Memorystore for Redis.

Il cluster Memorystore for Redis utilizza una struttura di denominazione delle autorizzazioni diversa da quella di Memorystore for Redis:

  • Le istanze di cluster Memorystore for Redis utilizzano redis.clusters.[PERMISSION].
  • Le istanze Memorystore per Redis utilizzano redis.instances.[PERMISSION].

Per saperne di più sul ruolo Amministratore Redis, vedi Ruoli predefiniti.

Per informazioni su come concedere il ruolo a un utente nel progetto, vedi Concedere o revocare un singolo ruolo.

Ruoli predefiniti

I seguenti ruoli predefiniti sono disponibili per il cluster Memorystore for Redis:

Ruolo Nome Autorizzazioni Redis Descrizione

roles/owner

Proprietario

redis.*

Accesso e controllo completi per tutte le risorse di Google Cloud; gestione dell'accesso degli utenti

roles/editor

Editor Tutte le redis autorizzazioni tranne *.getIamPolicy e .setIamPolicy Accesso in lettura/scrittura a tutte le risorse di Google Cloud e Redis (controllo completo con esclusione della possibilità di modificare le autorizzazioni)

roles/viewer

Visualizzatore

redis.*.get redis.*.list

Accesso in sola lettura a tutte le risorse di Google Cloud, incluse le risorse Redis

roles/redis.admin

Amministratore Redis

redis.*

Controllo completo per tutte le risorse del cluster Memorystore for Redis.

roles/redis.editor

Editor Redis Tutte le autorizzazioni del cluster Memorystore for Redis, ad eccezione di

redis.clusters.create redis.clusters.delete redis.clusters.connect

Gestire le istanze del cluster Memorystore for Redis. Non può creare o eliminare istanze.

roles/redis.viewer

Visualizzatore Redis Tutte le autorizzazioni redis tranne

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

Accesso in sola lettura a tutte le risorse del cluster Memorystore for Redis.

roles/redis.dbConnectionUser

Utente connessione al database Redis

redis.clusters.connect

Un ruolo che puoi assegnare agli utenti che devono eseguire l'autenticazione con IAM Auth

Autorizzazioni e relativi ruoli

La seguente tabella elenca tutte le autorizzazioni supportate dal cluster Memorystore for Redis e i ruoli Memorystore for Redis che lo includono:

Autorizzazione Ruolo Redis Ruolo di base

redis.clusters.list

Amministratore Redis
Editor Redis
Visualizzatore Redis
Visualizzatore

redis.clusters.get

Amministratore Redis
Editor Redis
Visualizzatore Redis
Visualizzatore

redis.clusters.create

Amministratore Redis Proprietario

redis.clusters.update

Amministratore Redis
Editor Redis
Editor

redis.clusters.connect

Amministratore Redis Proprietario

Ruoli personalizzati

Se i ruoli predefiniti non soddisfano i tuoi requisiti aziendali specifici, puoi definire ruoli personalizzati con le autorizzazioni specificate. Per supportare questa funzionalità, IAM offre ruoli personalizzati. Quando crei ruoli personalizzati per il cluster Memorystore for Redis, assicurati di includere sia resourcemanager.projects.get che resourcemanager.projects.list. In caso contrario, la console Google Cloud non funzionerà correttamente per il cluster Memorystore for Redis. Per ulteriori informazioni, consulta Dipendenze per le autorizzazioni. Per informazioni su come creare un ruolo personalizzato, consulta Creazione di un ruolo personalizzato.

Autorizzazioni per la crittografia dei dati in transito

La tabella seguente mostra le autorizzazioni necessarie per abilitare e gestire la crittografia in transito per il cluster Memorystore for Redis.

Autorizzazioni richieste Crea un'istanza Memorystore con crittografia dei dati in transito Scarica l'autorità di certificazione
redis.clusters.create X
redis.clusters.get X

Ruolo di creazione dei criteri di connettività di rete

Le autorizzazioni descritte in questa sezione sono necessarie per l'amministratore di rete che sta stabilendo un criterio di connessione di servizio per Memorystore for Redis Cluster, come descritto nella pagina Networking.

Per stabilire il criterio richiesto per la creazione di cluster Memorystore, l'amministratore di rete deve avere il ruolo networkconnectivity.googleapis.com/consumerNetworkAdmin, che concede le seguenti autorizzazioni:

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update