IAM によるアクセス制御

このページでは、Memorystore for Redis Cluster で使用できる Identity and Access Management ロールと、それらのロールに関連付けられた権限について説明します。Memorystore for Redis Cluster と Memorystore for Redis は、同じ IAM ロールを使用します。このロールにより Memorystore for Redis Cluster に付与される権限がこのページに示されています。このロールにより Memorystore for Redis に付与される権限は、Memorystore for Redis のアクセス制御ページに示されています。権限は両方のページに個別に示されていますが、ロールにより Memorystore for Redis Cluster と Memorystore for Redis の両方に権限が付与されます。

Memorystore for Redis Cluster は、Memorystore for Redis とは異なる権限命名構造を使用します。

• Memorystore for Redis Cluster インスタンスは、redis.clusters.[PERMISSION] を使用します。
• Memorystore for Redis インスタンスは、redis.instances.[PERMISSION] を使用します。

Redis 管理者ロールの詳細については、事前定義ロールをご覧ください。

プロジェクトのユーザーにロールを付与する方法については、単一ロールの付与または取り消しをご覧ください。

事前定義ロール

Memorystore for Redis Cluster では、次の事前定義ロールを使用できます。Identity and Access Management プリンシパルのロールを更新すると、変更が有効になるまでに数分かかります。

ロール	名前	Redis の権限	説明
roles/owner	オーナー	redis.*	すべての Google Cloud リソースに対する完全アクセス権と制御。ユーザー アクセスの管理
roles/editor	編集者	すべての redis 権限（ *.getIamPolicy と .setIamPolicy を除く）	すべての Google Cloud リソースと Redis リソースに対する読み取り / 書き込みアクセス権（権限を変更する能力以外のすべての制御）
roles/viewer	閲覧者	redis.*.get redis.*.list	Redis リソースを含むすべての Google Cloud リソースに対する読み取り専用アクセス権
roles/redis.admin	Redis 管理者	redis.*	すべての Memorystore for Redis Cluster リソースに対する完全な制御
roles/redis.editor	Redis 編集者	以下を除くすべての redis 権限 redis.clusters.create redis.clusters.delete redis.clusters.connect	Memorystore for Redis Cluster インスタンスを管理します。インスタンスの作成や削除はできません
roles/redis.viewer	Redis 閲覧者	以下を除くすべての redis 権限 redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete	すべての Memorystore for Redis Cluster リソースへの読み取り専用アクセス権。
roles/redis.dbConnectionUser	Redis データベース接続ユーザー	redis.clusters.connect	IAM 認証で認証する必要があるユーザーに割り当てることができるロール。

権限とそのロール

次の表は、Memorystore for Redis Cluster でサポートされる各権限と、それを含む Memorystore for Redis のロールを示したものです。

権限	Redis の役割	基本ロール
redis.clusters.list	Redis 管理者 Redis 編集者 Redis 閲覧者	閲覧者
redis.clusters.get	Redis 管理者 Redis 編集者 Redis 閲覧者	閲覧者
redis.clusters.create	Redis 管理者	Owner
redis.clusters.update	Redis 管理者 Redis 編集者	編集者
redis.clusters.connect	Redis 管理者 Redis データベース接続ユーザー	オーナー
redis.clusters.rescheduleMaintenance	Redis 管理者	Owner

カスタムロール

事前定義された役割がお客様特有のビジネス要件に合っていない場合は、任意に指定した権限を含むカスタムの役割を独自に定義できます。これをサポートするために、IAM にはカスタムの役割が用意されています。Memorystore for Redis Cluster のカスタムロールを作成する際は、resourcemanager.projects.get と resourcemanager.projects.list の両方を含めるようにしてください。そうしないと、 Google Cloud コンソールは Memorystore for Redis Cluster に対して正しく機能しません。詳細については、権限の依存関係をご覧ください。カスタムロールを作成する方法については、カスタムロールを作成するをご覧ください。

転送中の暗号化の権限

次の表に、Memorystore for Redis Cluster の転送中の暗号化を有効にして管理するために必要な権限を示します。

必要な権限	転送中の暗号化を使用する Memorystore インスタンスの作成	認証局をダウンロードする
redis.clusters.create	✓	X
redis.clusters.get	X	✓

ネットワーク接続ポリシーの作成ロール

このセクションで説明する権限は、ネットワーキング ページで説明するように、Memorystore for Redis Cluster のサービス接続ポリシーを確立するネットワーク管理者に必要です。

Memorystore クラスタの作成に必要なポリシーを確立するには、ネットワーク管理者に networkconnectivity.googleapis.com/consumerNetworkAdmin ロールが必要です。このロールには次の権限が付与されます。

• networkconnectivity.serviceconnectionpolicies.create
• networkconnectivity.serviceconnectionpolicies.list
• networkconnectivity.serviceconnectionpolicies.get
• networkconnectivity.serviceconnectionpolicies.delete
• networkconnectivity.serviceconnectionpolicies.update