Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffssteuerung mit IAM

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die für Memorystore for Redis-Cluster verfügbar sind, sowie die zugehörigen Berechtigungen für diese Rollen. Für Memorystore for Redis Cluster und Memorystore for Redis werden dieselben IAM-Rollen verwendet. Die Berechtigungen, die diese Rollen für Memorystore for Redis Cluster gewähren, sind auf dieser Seite aufgeführt. Die Berechtigungen, die diese Rollen für Memorystore for Redis gewähren, sind auf der Seite Zugriffssteuerung für Memorystore for Redis aufgeführt. Obwohl die Berechtigungen auf beiden Seiten separat aufgeführt sind, gewähren die Rollen Berechtigungen für Memorystore for Redis Cluster und Memorystore for Redis.

Memorystore for Redis Cluster verwendet eine andere Namensstruktur für Berechtigungen als Memorystore for Redis:

Für Memorystore for Redis-Clusterinstanzen wird redis.clusters.[PERMISSION] verwendet.
Memorystore for Redis-Instanzen verwenden redis.instances.[PERMISSION].

Weitere Informationen zur Rolle „Redis-Administrator“ finden Sie unter Vordefinierte Rollen.

Informationen zum Zuweisen der Rolle an einen Nutzer in Ihrem Projekt finden Sie unter Einzelne Rolle zuweisen oder widerrufen.

Vordefinierte Rollen

Die folgenden vordefinierten Rollen sind für Memorystore for Redis Cluster verfügbar. Wenn Sie eine Rolle für ein IAM-Hauptkonto aktualisieren, dauert es einige Minuten, bis die Änderung wirksam wird.

Rolle	Name	Redis-Berechtigungen	Beschreibung
`roles/owner`	Inhaber	`redis.*`	Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud Ressourcen; Verwaltung des Nutzerzugriffs
`roles/editor`	Editor	Alle `redis`-Berechtigungen, außer für `*.getIamPolicy` `.setIamPolicy`	Lese- und Schreibzugriff auf alle Google Cloud - und Redis-Ressourcen; vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern
`roles/viewer`	Betrachter	`redis..get redis..list`	Lesezugriff auf alle Google Cloud Ressourcen, einschließlich Redis-Ressourcen
`roles/redis.admin`	Redis-Administrator	`redis.*`	Uneingeschränkte Kontrolle über alle Memorystore for Redis Cluster-Ressourcen.
`roles/redis.editor`	Redis-Bearbeiter	Alle `redis`-Berechtigungen außer `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Verwalten Sie Memorystore for Redis-Clusterinstanzen. Kann keine Instanzen erstellen oder löschen.
`roles/redis.viewer`	Redis-Betrachter	Alle `redis`-Berechtigungen außer `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Lesezugriff auf alle Memorystore for Redis-Clusterressourcen.
`roles/redis.dbConnectionUser`	Nutzer der Verbindung zur Redis-Datenbank	`redis.clusters.connect`	Eine Rolle, die Sie Nutzern zuweisen können, die sich mit der IAM-Authentifizierung authentifizieren müssen.

Berechtigungen und ihre Rollen

In der folgenden Tabelle sind alle Berechtigungen aufgeführt, die Memorystore for Redis Cluster unterstützt, sowie die zugehörigen Memorystore for Redis-Rollen:

Berechtigung	Redis-Rolle	Einfache Rolle
`redis.clusters.list`	Redis-Administrator Redis-Bearbeiter Redis-Betrachter	Betrachter
`redis.clusters.get`	Redis-Administrator Redis-Bearbeiter Redis-Betrachter	Betrachter
`redis.clusters.create`	Redis-Administrator	Inhaber
`redis.clusters.update`	Redis-Administrator Redis-Bearbeiter	Editor
`redis.clusters.connect`	Redis-Administrator Nutzer der Verbindung zur Redis-Datenbank	Inhaber
`redis.clusters.rescheduleMaintenance`	Redis-Administrator	Inhaber

Benutzerdefinierte Rollen

Wenn die vordefinierten Rollen Ihren einmaligen Geschäftsanforderungen nicht gerecht werden, können Sie Ihre eigenen benutzerdefinierten Rollen definieren. Hierbei können Sie die gewünschten Berechtigungen definieren. Dafür bietet IAM benutzerdefinierte Rollen. Wenn Sie benutzerdefinierte Rollen für Memorystore for Redis Cluster erstellen, achten Sie darauf, dass sowohl resourcemanager.projects.get als auch resourcemanager.projects.list enthalten sind. Andernfalls funktioniert die Google Cloud Console nicht ordnungsgemäß für Memorystore for Redis Cluster. Weitere Informationen finden Sie unter Berechtigungsabhängigkeiten. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rolle erstellen.

Berechtigungen für die Verschlüsselung während der Übertragung

Die folgende Tabelle enthält die Berechtigungen, die zum Aktivieren und Verwalten der Verschlüsselung während der Übertragung für Memorystore for Redis Cluster erforderlich sind.

Berechtigungen erforderlich	Memorystore-Instanz mit Verschlüsselung während der Übertragung erstellen	Zertifizierungsstelle herunterladen
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Rolle zum Erstellen von Richtlinien für die Netzwerkkonnektivität

Die in diesem Abschnitt beschriebenen Berechtigungen sind für den Netzwerkadministrator erforderlich, der eine Richtlinie für Dienstverbindungen für Memorystore for Redis-Cluster einrichtet, wie auf der Seite Netzwerk beschrieben.

Um die für die Erstellung von Memorystore-Clustern erforderliche Richtlinie festzulegen, muss der Netzwerkadministrator die Rolle networkconnectivity.googleapis.com/consumerNetworkAdmin haben, die die folgenden Berechtigungen gewährt:

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update