Controllo dell'accesso con IAM

Questa pagina spiega i ruoli di Identity and Access Management disponibili per il cluster Memorystore for Redis e le autorizzazioni associate per questi ruoli. Cluster Memorystore per Redis e Memorystore for Redis utilizzano gli stessi ruoli IAM. In questa pagina sono elencate le autorizzazioni concesse da questi ruoli per il cluster Memorystore for Redis. Le autorizzazioni concesse da questi ruoli per Memorystore for Redis sono elencate nella pagina Memorystore for Redis Access control. Anche se le autorizzazioni sono elencate separatamente in entrambe le pagine, i ruoli concedono le autorizzazioni sia per il cluster Memorystore for Redis sia per Memorystore for Redis.

Il cluster Memorystore for Redis utilizza una struttura di denominazione delle autorizzazioni diversa da quella di Memorystore for Redis:

Le istanze di cluster Memorystore for Redis utilizzano redis.clusters.[PERMISSION].
Le istanze Memorystore per Redis utilizzano redis.instances.[PERMISSION].

Per saperne di più sul ruolo Amministratore Redis, vedi Ruoli predefiniti.

Per informazioni su come concedere il ruolo a un utente nel progetto, vedi Concedere o revocare un singolo ruolo.

Ruoli predefiniti

I seguenti ruoli predefiniti sono disponibili per il cluster Memorystore for Redis:

Ruolo	Nome	Autorizzazioni Redis	Descrizione
`roles/owner`	Proprietario	`redis.*`	Accesso e controllo completi per tutte le risorse di Google Cloud; gestione dell'accesso degli utenti
`roles/editor`	Editor	Tutte le `redis` autorizzazioni tranne `*.getIamPolicy` e `.setIamPolicy`	Accesso in lettura/scrittura a tutte le risorse di Google Cloud e Redis (controllo completo con esclusione della possibilità di modificare le autorizzazioni)
`roles/viewer`	Visualizzatore	`redis..get redis..list`	Accesso in sola lettura a tutte le risorse di Google Cloud, incluse le risorse Redis
`roles/redis.admin`	Amministratore Redis	`redis.*`	Controllo completo per tutte le risorse del cluster Memorystore for Redis.
`roles/redis.editor`	Editor Redis	Tutte le autorizzazioni del cluster Memorystore for Redis, ad eccezione di `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Gestire le istanze del cluster Memorystore for Redis. Non può creare o eliminare istanze.
`roles/redis.viewer`	Visualizzatore Redis	Tutte le autorizzazioni `redis` tranne `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Accesso in sola lettura a tutte le risorse del cluster Memorystore for Redis.
`roles/redis.dbConnectionUser`	Utente connessione al database Redis	`redis.clusters.connect`	Un ruolo che puoi assegnare agli utenti che devono eseguire l'autenticazione con IAM Auth

Autorizzazioni e relativi ruoli

La seguente tabella elenca tutte le autorizzazioni supportate dal cluster Memorystore for Redis e i ruoli Memorystore for Redis che lo includono:

Autorizzazione	Ruolo Redis	Ruolo di base
`redis.clusters.list`	Amministratore Redis Editor Redis Visualizzatore Redis	Visualizzatore
`redis.clusters.get`	Amministratore Redis Editor Redis Visualizzatore Redis	Visualizzatore
`redis.clusters.create`	Amministratore Redis	Proprietario
`redis.clusters.update`	Amministratore Redis Editor Redis	Editor
`redis.clusters.connect`	Amministratore Redis	Proprietario

Ruoli personalizzati

Se i ruoli predefiniti non soddisfano i tuoi requisiti aziendali specifici, puoi definire ruoli personalizzati con le autorizzazioni specificate. Per supportare questa funzionalità, IAM offre ruoli personalizzati. Quando crei ruoli personalizzati per il cluster Memorystore for Redis, assicurati di includere sia resourcemanager.projects.get che resourcemanager.projects.list. In caso contrario, la console Google Cloud non funzionerà correttamente per il cluster Memorystore for Redis. Per ulteriori informazioni, consulta Dipendenze per le autorizzazioni. Per informazioni su come creare un ruolo personalizzato, consulta Creazione di un ruolo personalizzato.

Autorizzazioni per la crittografia dei dati in transito

La tabella seguente mostra le autorizzazioni necessarie per abilitare e gestire la crittografia in transito per il cluster Memorystore for Redis.

Autorizzazioni richieste	Crea un'istanza Memorystore con crittografia dei dati in transito	Scarica l'autorità di certificazione
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Ruolo di creazione dei criteri di connettività di rete

Le autorizzazioni descritte in questa sezione sono necessarie per l'amministratore di rete che sta stabilendo un criterio di connessione di servizio per Memorystore for Redis Cluster, come descritto nella pagina Networking.

Per stabilire il criterio richiesto per la creazione di cluster Memorystore, l'amministratore di rete deve avere il ruolo networkconnectivity.googleapis.com/consumerNetworkAdmin, che concede le seguenti autorizzazioni:

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update