Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, explicamos os papéis do Identity and Access Management disponíveis para o cluster do Memorystore para Redis e as permissões associadas a esses papéis. O Memorystore para Redis Cluster e o Memorystore para Redis usam as mesmas funções do IAM. As permissões que essas funções concedem para o Memorystore for Redis Cluster estão listadas nesta página. As permissões concedidas por esses papéis para o Memorystore para Redis estão listadas na página Controle de acesso do Memorystore para Redis. Embora as permissões sejam listadas separadamente nas duas páginas, as funções concedem permissões para o Memorystore para Redis Cluster e o Memorystore para Redis.

O Memorystore for Redis Cluster usa uma estrutura de nomenclatura de permissões diferente do Memorystore for Redis:

As instâncias do Memorystore para Redis Cluster usam redis.clusters.[PERMISSION].
As instâncias do Memorystore para Redis usam redis.instances.[PERMISSION].

Para mais informações sobre a função de administrador do Redis, consulte Funções predefinidas.

Para saber como conceder o papel a um usuário no seu projeto, consulte Conceder ou revogar um único papel.

Papéis predefinidos

Os seguintes papéis predefinidos estão disponíveis para o cluster do Memorystore para Redis. Se você atualizar um papel para um principal do Identity and Access Management, a mudança vai levar vários minutos para entrar em vigor.

Papel	Nome	Permissões do Redis	Descrição
`roles/owner`	Proprietário	`redis.*`	Controle e acesso total a todos os recursos do Google Cloud ; gerencie o acesso do usuário
`roles/editor`	Editor	Todas as permissões `redis`, exceto `*.getIamPolicy` e `.setIamPolicy`	Acesso de leitura e gravação a todos os recursos do Google Cloud e do Redis (controle total, exceto a capacidade de modificar permissões)
`roles/viewer`	Leitor	`redis..get redis..list`	Acesso somente leitura a todos os recursos do Google Cloud , incluindo recursos do Redis
`roles/redis.admin`	Administrador do Redis	`redis.*`	Controle total de todos os recursos do Memorystore for Redis Cluster.
`roles/redis.editor`	Editor do Redis	Todas as permissões `redis`, exceto `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Gerencie instâncias do Memorystore for Redis Cluster. Não pode criar ou excluir instâncias.
`roles/redis.viewer`	Visualizador do Redis	Todas as permissões `redis`, exceto `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Acesso somente leitura a todos os recursos do cluster do Memorystore para Redis.
`roles/redis.dbConnectionUser`	Usuário de conexão ao banco de dados do Redis	`redis.clusters.connect`	Um papel que pode ser atribuído a usuários que precisam se autenticar com a autenticação do IAM.

Permissões e os papéis delas

Na tabela a seguir, listamos cada permissão compatível com o Memorystore para Redis Cluster e os papéis do Memorystore para Redis que a incluem:

Permissão	Papel Redis	Papel básico
`redis.clusters.list`	Administrador do Redis Editor do Redis Visualizador do Redis	Leitor
`redis.clusters.get`	Administrador do Redis Editor do Redis Visualizador do Redis	Leitor
`redis.clusters.create`	Administrador do Redis	Proprietário
`redis.clusters.update`	Administrador do Redis Editor do Redis	Editor
`redis.clusters.connect`	Administrador do Redis Usuário de conexão ao banco de dados do Redis	Proprietário
`redis.clusters.rescheduleMaintenance`	Administrador do Redis	Proprietário

Papéis personalizados

Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Para isso, o IAM oferece papéis personalizados. Ao criar papéis personalizados para o Memorystore para Redis Cluster, inclua resourcemanager.projects.get e resourcemanager.projects.list. Caso contrário, o console Google Cloud não vai funcionar corretamente no Memorystore para Redis Cluster. Para mais informações, consulte Dependências de permissão. Para saber como criar um papel personalizado, consulte Como criar um papel personalizado.

Permissões de criptografia em trânsito

A tabela abaixo mostra as permissões necessárias para ativar e gerenciar a criptografia em trânsito para o cluster do Memorystore para Redis.

Permissões necessárias	Criar uma instância do Memorystore com criptografia em trânsito	Fazer o download da autoridade de certificação
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Função de criação de política de conectividade de rede

As permissões descritas nesta seção são necessárias para o administrador de rede que está estabelecendo uma política de conexão de serviço para o cluster do Memorystore para Redis, conforme descrito na página Redes.

Para estabelecer a política necessária para a criação de clusters do Memorystore, o administrador de rede precisa ter a função networkconnectivity.googleapis.com/consumerNetworkAdmin, que concede as seguintes permissões:

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update