Contrôle des accès avec IAM

Cette page décrit les rôles Identity and Access Management disponibles pour le cluster Memorystore pour Redis, ainsi que les autorisations associées à ces rôles. Le cluster Memorystore pour Redis et Memorystore pour Redis utilisent les mêmes rôles IAM. Les autorisations accordées par ces rôles pour le cluster Memorystore pour Redis sont répertoriées sur cette page. Les autorisations accordées par ces rôles à Memorystore pour Redis sont répertoriées sur la page Contrôle des accès à Memorystore. Bien que les autorisations soient répertoriées séparément sur les deux pages, les rôles accordent des autorisations à la fois pour le cluster Memorystore pour Redis et pour Memorystore pour Redis.

Le cluster Memorystore pour Redis utilise une structure de noms d'autorisations différente de celle de Memorystore pour Redis:

Les instances Memorystore pour un cluster Redis utilisent redis.clusters.[PERMISSION].
Les instances Memorystore pour Redis utilisent redis.instances.[PERMISSION].

Pour en savoir plus sur le rôle d'administrateur Redis, consultez Rôles prédéfinis.

Pour savoir comment attribuer le rôle à un utilisateur de votre projet, consultez Attribuer ou révoquer un seul rôle.

Rôles prédéfinis

Les rôles prédéfinis suivants sont disponibles pour le cluster Memorystore pour Redis:

Rôle	Nom	Autorisations Redis	Description
`roles/owner`	Owner	`redis.*`	Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs
`roles/editor`	Éditeur	Toutes les autorisations `redis` , à l'exception de `*.getIamPolicy` et `.setIamPolicy`	Accès en lecture/écriture à toutes les ressources Google Cloud et Redis (contrôle total, hormis la possibilité de modifier les autorisations)
`roles/viewer`	Lecteur	`redis..get redis..list`	Accès en lecture seule à toutes les ressources Google Cloud, y compris les ressources Redis
`roles/redis.admin`	Administrateur Redis	`redis.*`	Contrôle complet de toutes les ressources du cluster Memorystore pour Redis.
`roles/redis.editor`	Éditeur Redis	Toutes les autorisations du cluster Memorystore pour Redis, sauf `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Gérer des instances de cluster Memorystore pour Redis création ou suppression d'instances impossible
`roles/redis.viewer`	Lecteur Redis	Toutes les autorisations `redis`, à l'exception de `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Accès en lecture seule à toutes les ressources du cluster Memorystore pour Redis.
`roles/redis.dbConnectionUser`	Utilisateur de connexion à la base de données Redis	`redis.clusters.connect`	Rôle que vous pouvez attribuer aux utilisateurs qui doivent s'authentifier avec IAM Auth

Autorisations et rôles associés

Le tableau suivant répertorie toutes les autorisations compatibles avec le cluster Memorystore pour Redis, ainsi que les rôles Memorystore pour Redis qui l'incluent:

Permission	Rôle Redis	Rôle de base
`redis.clusters.list`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.get`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.create`	Administrateur Redis	Owner
`redis.clusters.update`	Administrateur Redis Éditeur Redis	Éditeur
`redis.clusters.connect`	Administrateur Redis	Owner

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM. Lorsque vous créez des rôles personnalisés pour un cluster Memorystore pour Redis, veillez à inclure resourcemanager.projects.get et resourcemanager.projects.list. Sinon, la console Google Cloud ne fonctionnera pas correctement pour le cluster Memorystore pour Redis. Pour en savoir plus, consultez la section Dépendances d'autorisation. Pour savoir comment créer un rôle personnalisé, consultez la page Créer un rôle personnalisé.

Autorisations pour le chiffrement en transit

Le tableau ci-dessous présente les autorisations requises pour activer et gérer le chiffrement en transit pour le cluster Memorystore pour Redis.

Autorisations nécessaires	Créer une instance Memorystore avec chiffrement en transit	Télécharger l'autorité de certification
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Rôle de création de règles de connectivité réseau

Les autorisations décrites dans cette section sont nécessaires pour l'administrateur réseau qui établit une règle de connexion au service pour le cluster Memorystore pour Redis, comme décrit sur la page Mise en réseau.

Pour établir la stratégie requise pour la création de clusters Memorystore, l'administrateur réseau doit disposer du rôle networkconnectivity.googleapis.com/consumerNetworkAdmin, qui accorde les autorisations suivantes:

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update