Cette page a été traduite par l'API Cloud Translation.

Contrôle des accès avec IAM

Cette page décrit les rôles Identity and Access Management disponibles pour Memorystore pour Redis Cluster, ainsi que les autorisations associées à ces rôles. Memorystore pour Redis Cluster et Memorystore pour Redis utilisent les mêmes rôles IAM. Les autorisations accordées par ces rôles pour Memorystore for Redis Cluster sont listées sur cette page. Les autorisations que ces rôles accordent pour Memorystore pour Redis sont listées sur la page Contrôle des accès Memorystore pour Redis. Bien que les autorisations soient listées séparément sur les deux pages, les rôles accordent des autorisations pour Memorystore for Redis Cluster et Memorystore pour Redis.

Memorystore for Redis Cluster utilise une structure de dénomination des autorisations différente de celle de Memorystore pour Redis :

Les instances Memorystore for Redis Cluster utilisent redis.clusters.[PERMISSION].
Les instances Memorystore pour Redis utilisent redis.instances.[PERMISSION].

Pour en savoir plus sur le rôle d'administrateur Redis, consultez Rôles prédéfinis.

Pour savoir comment attribuer le rôle à un utilisateur de votre projet, consultez Attribuer ou révoquer un rôle unique.

Rôles prédéfinis

Les rôles prédéfinis suivants sont disponibles pour Memorystore pour Redis Cluster. Si vous modifiez le rôle d'un principal Identity and Access Management, la modification prend plusieurs minutes à prendre effet.

Rôle	Nom	Autorisations Redis	Description
`roles/owner`	Propriétaire	`redis.*`	Accès complet à toutes les ressources Google Cloud , contrôle total sur ces ressources et gestion de l'accès des utilisateurs
`roles/editor`	Éditeur	Toutes les autorisations `redis`, à l'exception de `*.getIamPolicy` et`.setIamPolicy`	Accès en lecture/écriture à toutes les ressources Google Cloud et Redis (contrôle total, hormis la possibilité de modifier les autorisations)
`roles/viewer`	Lecteur	`redis..get redis..list`	Accès en lecture seule à toutes les ressources Google Cloud , y compris les ressources Redis
`roles/redis.admin`	Administrateur Redis	`redis.*`	Contrôle total sur toutes les ressources Memorystore pour Redis Cluster
`roles/redis.editor`	Éditeur Redis	Toutes les autorisations `redis`, à l'exception de `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Permet de gérer les instances Memorystore for Redis Cluster. création ou suppression d'instances impossible
`roles/redis.viewer`	Lecteur Redis	Toutes les autorisations `redis`, à l'exception de `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Accès en lecture seule à toutes les ressources Memorystore pour Redis Cluster.
`roles/redis.dbConnectionUser`	Utilisateur de connexion aux bases de données Redis	`redis.clusters.connect`	Rôle que vous pouvez attribuer aux utilisateurs qui doivent s'authentifier avec l'authentification IAM.

Autorisations et rôles associés

Le tableau suivant répertorie toutes les autorisations disponibles pour Memorystore pour Redis Cluster et les rôles Memorystore pour Redis qui les incluent :

Autorisation	Rôle Redis	Rôle de base
`redis.clusters.list`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.get`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.create`	Administrateur Redis	Propriétaire
`redis.clusters.update`	Administrateur Redis Éditeur Redis	Éditeur
`redis.clusters.connect`	Administrateur Redis Utilisateur de connexion aux bases de données Redis	Propriétaire
`redis.clusters.rescheduleMaintenance`	Administrateur Redis	Propriétaire

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM. Lorsque vous créez des rôles personnalisés pour Memorystore for Redis Cluster, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list. Sinon, la console Google Cloud ne fonctionnera pas correctement pour Memorystore pour Redis Cluster. Pour en savoir plus, consultez Dépendances d'autorisation. Pour savoir comment créer un rôle personnalisé, consultez Créer un rôle personnalisé.

Autorisations pour le chiffrement en transit

Le tableau ci-dessous présente les autorisations requises pour activer et gérer le chiffrement en transit pour Memorystore pour Redis Cluster.

Autorisations nécessaires	Créer une instance Memorystore avec chiffrement en transit	Télécharger l'autorité de certification
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Rôle de création de règles de connectivité réseau

Les autorisations décrites dans cette section sont nécessaires à l'administrateur réseau qui établit une règle de connexion de service pour Memorystore pour Redis Cluster, comme décrit sur la page Mise en réseau.

Pour établir la règle requise pour la création de clusters Memorystore, l'administrateur réseau doit disposer du rôle networkconnectivity.googleapis.com/consumerNetworkAdmin, qui accorde les autorisations suivantes :

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update