Controle de acesso com o IAM

Nesta página, explicamos os papéis do Identity and Access Management disponíveis para o cluster do Memorystore para Redis e as permissões associadas a eles. O Memorystore para Redis e o Memorystore para Redis usam os mesmos papéis do IAM. As permissões que esses papéis concedem ao cluster do Memorystore para Redis estão listadas nesta página. As permissões que esses papéis concedem ao Memorystore para Redis estão listadas na página Controle de acesso do Memorystore para Redis. Embora as permissões estejam listadas separadamente nas duas páginas, os papéis concedem permissões para o Cluster do Memorystore e do Memorystore para Redis.

O cluster do Memorystore para Redis usa uma estrutura de nomenclatura de permissões diferente do Memorystore para Redis:

  • As instâncias de cluster do Memorystore para Redis usam redis.clusters.[PERMISSION].
  • As instâncias do Memorystore para Redis usam redis.instances.[PERMISSION].

Para mais informações sobre o papel de administrador do Redis, consulte Papéis predefinidos.

Para saber como conceder o papel a um usuário no projeto, consulte Conceder ou revogar um único papel.

Papéis predefinidos

Os seguintes papéis predefinidos estão disponíveis para o cluster do Memorystore para Redis:

Papel Nome Permissões do Redis Descrição

roles/owner

Proprietário

redis.*

Controle e acesso total a todos os recursos do Google Cloud, gerencie o acesso do usuário

roles/editor

Editor Todas as permissões redis , exceto *.getIamPolicy e .setIamPolicy Acesso de leitura e gravação a todos os recursos do Google Cloud e do Redis (controle total, exceto a capacidade de modificar permissões)

roles/viewer

Visualizador

redis.*.get redis.*.list

Acesso somente leitura a todos os recursos do Google Cloud, incluindo recursos do Redis

roles/redis.admin

Administrador do Redis

redis.*

Controle total de todos os recursos do cluster do Memorystore para Redis.

roles/redis.editor

Editor do Redis Todas as permissões de cluster do Memorystore para Redis, exceto

redis.clusters.create redis.clusters.delete redis.clusters.connect

Gerenciar instâncias de cluster do Memorystore para Redis. Não é possível criar ou excluir instâncias.

roles/redis.viewer

Visualizador do Redis Todas as permissões de redis, exceto para

redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete

Acesso somente leitura a todos os recursos do cluster do Memorystore para Redis.

roles/redis.dbConnectionUser

Usuário de conexão do banco de dados do Redis

redis.clusters.connect

 Um papel que pode ser atribuído a usuários que precisam ser autenticados com o IAM Auth

Permissões e os papéis delas

A tabela a seguir lista todas as permissões compatíveis com o cluster do Memorystore para Redis e os papéis que o incluem:

Permissão Papel Redis Papel básico

redis.clusters.list

Administrador do Redis
Editor do Redis
Visualizador do Redis		 Leitor

redis.clusters.get

Administrador do Redis
Editor do Redis
Visualizador do Redis		 Leitor

redis.clusters.create

Administrador do Redis Proprietário

redis.clusters.update

Administrador do Redis
Editor do Redis		 Editor

redis.clusters.connect

Administrador do Redis Proprietário

Papéis personalizados

Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Para isso, o IAM oferece papéis personalizados. Ao criar papéis personalizados para o cluster do Memorystore para Redis, inclua resourcemanager.projects.get e resourcemanager.projects.list. Caso contrário, o console do Google Cloud não funcionará corretamente para o cluster do Memorystore para Redis. Para mais informações, consulte Dependências de permissão. Para saber como criar um papel personalizado, consulte Como criar um papel personalizado.

Permissões de criptografia em trânsito

A tabela abaixo mostra as permissões necessárias para ativar e gerenciar a criptografia em trânsito no cluster do Memorystore para Redis.

Permissões necessárias Criar uma instância do Memorystore com criptografia em trânsito Fazer o download da autoridade de certificação
redis.clusters.create X
redis.clusters.get X

Papel de criação de política de conectividade de rede

As permissões descritas nesta seção são necessárias para o administrador de rede que está estabelecendo uma política de conexão de serviço para o cluster do Memorystore para Redis, conforme descrito na página Rede.

Para estabelecer a política necessária para a criação do cluster do Memorystore, o administrador da rede precisa ter o papel networkconnectivity.googleapis.com/consumerNetworkAdmin, que concede as seguintes permissões:

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update