本页面介绍适用于 Memorystore for Redis 集群的 Identity and Access Management 角色以及这些角色的相关权限。Memorystore for Redis 集群和 Memorystore for Redis 使用相同的 IAM 角色。本页面列出了这些角色为 Memorystore for Redis 集群授予的权限。Memorystore for Redis 访问权限控制页面列出了这些角色针对 Memorystore for Redis 授予的权限。虽然权限同时在两个页面上列出,但角色会授予 Memorystore for Redis 集群和 Memorystore for Redis 的权限。
Memorystore for Redis 集群使用的权限命名结构与 Memorystore for Redis 不同:
- Memorystore for Redis 集群实例使用
redis.clusters.[PERMISSION]
。 - Memorystore for Redis 实例使用
redis.instances.[PERMISSION]
。
如需详细了解 Redis Admin 角色,请参阅预定义角色。
如需了解如何向项目中的用户授予角色,请参阅授予或撤消单个角色。
预定义角色
以下预定义角色适用于 Memorystore for Redis 集群:
角色 | 名称 | Redis 权限 | 说明 |
---|---|---|---|
|
所有者 |
|
对所有 Google Cloud 资源拥有完整访问权限和控制权;可以管理用户访问权限 |
|
Editor | 除以下权限以外的所有 redis 权限: *.getIamPolicy 和 .setIamPolicy |
对所有 Google Cloud 和 Redis 资源拥有读写权限(拥有完全控制权,但不能修改权限) |
|
Viewer |
|
对所有 Google Cloud 资源(包括 Redis 资源)拥有只读权限 |
|
Redis Admin |
|
拥有对所有 Memorystore for Redis 集群资源的完全控制权。 |
|
Redis Editor | 所有 Memorystore for Redis 集群权限( 除外)
|
管理 Memorystore for Redis 集群实例。无法创建或删除实例。 |
|
Redis Viewer | 除以下权限以外的所有 redis 权限
|
拥有对所有 Memorystore for Redis 集群资源的只读权限。 |
|
Redis 数据库连接用户 |
|
此角色可分配给需要通过 IAM 身份验证进行身份验证的用户 |
权限及其对应的角色
下表列出了 Memorystore for Redis 集群支持的各项权限以及拥有该权限的 Memorystore for Redis 角色:
权限 | Redis 角色 | 基本角色 |
---|---|---|
|
Redis Admin Redis Editor Redis Viewer |
Viewer |
|
Redis Admin Redis Editor Redis Viewer |
Viewer |
|
Redis Admin | 所有者 |
|
Redis Admin Redis Editor |
Editor |
|
Redis Admin | 所有者 |
自定义角色
如果预定义角色不能满足您的独特业务需求,您可以使用指定的权限定义自己的自定义角色。为此,IAM 提供了自定义角色。为 Memorystore for Redis 集群创建自定义角色时,请务必同时添加 resourcemanager.projects.get
和 resourcemanager.projects.list
。否则,Google Cloud 控制台对于 Memorystore for Redis 集群将无法正常运行。如需了解详情,请参阅权限依赖项。
如需了解如何创建自定义角色,请参阅创建自定义角色。
传输加密权限
下表显示了为 Memorystore for Redis 集群启用和管理传输加密所需的权限。
所需权限 | 创建使用传输加密的 Memorystore 实例 | 下载证书授权机构 |
---|---|---|
redis.clusters.create
|
✓ | X |
redis.clusters.get
|
X | ✓ |
网络连接政策创建角色
本部分中的权限适用于为 Memorystore for Redis 集群建立服务连接政策的 Network Admin,如网络页面中所述。
如需建立 Memorystore 集群创建所需的政策,Network Admin 必须具有 networkconnectivity.googleapis.com/consumerNetworkAdmin
角色,该角色可授予以下权限:
- networkconnectivity.serviceconnectionpolicies.create
- networkconnectivity.serviceconnectionpolicies.list
- networkconnectivity.serviceconnectionpolicies.get
- networkconnectivity.serviceconnectionpolicies.delete
- networkconnectivity.serviceconnectionpolicies.update