使用 IAM 控制访问权限

本页面介绍适用于 Memorystore for Redis 集群的 Identity and Access Management 角色以及这些角色的相关权限。Memorystore for Redis 集群和 Memorystore for Redis 使用相同的 IAM 角色。本页面列出了这些角色为 Memorystore for Redis 集群授予的权限。Memorystore for Redis 访问权限控制页面列出了这些角色针对 Memorystore for Redis 授予的权限。虽然权限同时在两个页面上列出,但角色会授予 Memorystore for Redis 集群和 Memorystore for Redis 的权限。

Memorystore for Redis 集群使用的权限命名结构与 Memorystore for Redis 不同:

  • Memorystore for Redis 集群实例使用 redis.clusters.[PERMISSION]
  • Memorystore for Redis 实例使用 redis.instances.[PERMISSION]

如需详细了解 Redis Admin 角色,请参阅预定义角色

如需了解如何向项目中的用户授予角色,请参阅授予或撤消单个角色

预定义角色

以下预定义角色适用于 Memorystore for Redis 集群:

角色 名称 Redis 权限 说明

roles/owner

所有者

redis.*

对所有 Google Cloud 资源拥有完整访问权限和控制权;可以管理用户访问权限

roles/editor

Editor 除以下权限以外的所有 redis 权限: *.getIamPolicy.setIamPolicy 对所有 Google Cloud 和 Redis 资源拥有读写权限(拥有完全控制权,但不能修改权限)

roles/viewer

Viewer

redis.*.get redis.*.list

对所有 Google Cloud 资源(包括 Redis 资源)拥有只读权限

roles/redis.admin

Redis Admin

redis.*

拥有对所有 Memorystore for Redis 集群资源的完全控制权。

roles/redis.editor

Redis Editor 所有 Memorystore for Redis 集群权限(
除外)

redis.clusters.create redis.clusters.delete redis.clusters.connect

管理 Memorystore for Redis 集群实例。无法创建或删除实例。

roles/redis.viewer

Redis Viewer 除以下权限以外的所有 redis 权限

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

拥有对所有 Memorystore for Redis 集群资源的只读权限。

roles/redis.dbConnectionUser

Redis 数据库连接用户

redis.clusters.connect

 此角色可分配给需要通过 IAM 身份验证进行身份验证的用户

权限及其对应的角色

下表列出了 Memorystore for Redis 集群支持的各项权限以及拥有该权限的 Memorystore for Redis 角色:

权限 Redis 角色 基本角色

redis.clusters.list

Redis Admin
Redis Editor
Redis Viewer		 Viewer

redis.clusters.get

Redis Admin
Redis Editor
Redis Viewer		 Viewer

redis.clusters.create

Redis Admin 所有者

redis.clusters.update

Redis Admin
Redis Editor		 Editor

redis.clusters.connect

Redis Admin 所有者

自定义角色

如果预定义角色不能满足您的独特业务需求,您可以使用指定的权限定义自己的自定义角色。为此,IAM 提供了自定义角色。为 Memorystore for Redis 集群创建自定义角色时,请务必同时添加 resourcemanager.projects.getresourcemanager.projects.list。否则,Google Cloud 控制台对于 Memorystore for Redis 集群将无法正常运行。如需了解详情,请参阅权限依赖项。 如需了解如何创建自定义角色,请参阅创建自定义角色

传输加密权限

下表显示了为 Memorystore for Redis 集群启用和管理传输加密所需的权限。

所需权限 创建使用传输加密的 Memorystore 实例 下载证书授权机构
redis.clusters.create X
redis.clusters.get X

网络连接政策创建角色

本部分中的权限适用于为 Memorystore for Redis 集群建立服务连接政策的 Network Admin,如网络页面中所述。

如需建立 Memorystore 集群创建所需的政策,Network Admin 必须具有 networkconnectivity.googleapis.com/consumerNetworkAdmin 角色,该角色可授予以下权限:

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update