Control de acceso con IAM

En esta página, se explican las funciones de Identity and Access Management disponibles para el clúster de Memorystore para Redis y los permisos asociados a ellas. El clúster de Memorystore para Redis y Memorystore para Redis usan las mismas funciones de IAM. En esta página, se enumeran los permisos que otorgan estos roles para el clúster de Memorystore para Redis. Los permisos que otorgan estas funciones para Memorystore para Redis se enumeran en la página Control de acceso de Memorystore para Redis. Aunque los permisos se enumeran por separado en ambas páginas, los roles otorgan permisos para el clúster de Memorystore para Redis y Memorystore para Redis.

El clúster de Memorystore para Redis usa una estructura de nombres de permisos diferente a la de Memorystore para Redis:

Las instancias de clústeres de Memorystore para Redis usan redis.clusters.[PERMISSION].
Las instancias de Memorystore para Redis usan redis.instances.[PERMISSION].

Para obtener más información sobre el rol Administrador de Redis, consulta Roles predefinidos.

Para obtener información sobre cómo otorgar el rol a un usuario en tu proyecto, consulta Cómo otorgar o revocar un rol único.

Funciones predefinidas

Los siguientes roles predefinidos están disponibles para el clúster de Memorystore para Redis:

Rol	Nombre	Permisos de Redis	Descripción
`roles/owner`	Propietario	`redis.*`	Acceso y control totales para todos los recursos de Google Cloud; administración del acceso de los usuarios
`roles/editor`	Editor	Todos los permisos de `redis` , excepto `*.getIamPolicy` y `.setIamPolicy`	Acceso de lectura y escritura a todos los recursos de Google Cloud y Redis (control total, excepto la capacidad de modificar permisos)
`roles/viewer`	Lector	`redis..get redis..list`	Acceso de solo lectura a todos los recursos de Google Cloud, incluidos los recursos de Redis
`roles/redis.admin`	Administrador de Redis	`redis.*`	Control total de todos los recursos del clúster de Memorystore para Redis.
`roles/redis.editor`	Editor de Redis	Todos los permisos del clúster de Memorystore para Redis, excepto `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Administra instancias de clústeres de Memorystore para Redis. No se pueden crear ni borrar instancias.
`roles/redis.viewer`	Lector de Redis	Todos los permisos de `redis`, excepto `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Acceso de solo lectura a todos los recursos de clústeres de Memorystore para Redis.
`roles/redis.dbConnectionUser`	Usuario de conexión de base de datos de Redis	`redis.clusters.connect`	Un rol que puedes asignar a los usuarios que necesitan autenticarse con la autenticación de IAM

Permisos y sus funciones

En la siguiente tabla, se enumera cada permiso que admite el clúster de Memorystore para Redis y las funciones de Memorystore para Redis que lo incluyen:

Permiso	Función de Redis	Función básica
`redis.clusters.list`	Administrador de Redis Editor de Redis Visualizador de Redis	Visualizador
`redis.clusters.get`	Administrador de Redis Editor de Redis Visualizador de Redis	Visualizador
`redis.clusters.create`	Administrador de Redis	Propietario
`redis.clusters.update`	Administrador de Redis Editor de Redis	Editor
`redis.clusters.connect`	Administrador de Redis	Propietario

Funciones personalizadas

Si las funciones predefinidas no responden a tus requisitos comerciales únicos, puedes definir tus propias funciones personalizadas con los permisos que especifiques. Para responder a estas necesidades, IAM ofrece funciones personalizadas. Cuando crees funciones personalizadas para el clúster de Memorystore para Redis, asegúrate de incluir resourcemanager.projects.get y resourcemanager.projects.list. De lo contrario, la consola de Google Cloud no funcionará correctamente para el clúster de Memorystore para Redis. Para obtener más información, consulta las dependencias de permisos. Para aprender a crear una función personalizada, consulta Crea una función personalizada.

Permisos de encriptación en tránsito

En la siguiente tabla, se muestran los permisos necesarios para habilitar y administrar la encriptación en tránsito para el clúster de Memorystore para Redis.

Se necesitan permisos	Crea una instancia de Memorystore con encriptación en tránsito	Descargar la autoridad certificada
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Función de creación de políticas de conectividad de red

Los permisos descritos en esta sección son necesarios para el administrador de red que establece una política de conexión de servicio para el clúster de Memorystore para Redis, como se describe en la página Herramientas de redes.

A fin de establecer la política requerida para la creación del clúster de Memorystore, el administrador de red debe tener la función networkconnectivity.googleapis.com/consumerNetworkAdmin, que otorga los siguientes permisos:

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update