本頁面由 Cloud Translation API 翻譯而成。

使用 IAM 控管存取權

本頁說明 Memorystore for Redis Cluster 適用的 Identity and Access Management 角色，以及這些角色的相關聯權限。Memorystore for Redis Cluster 和 Memorystore for Redis 使用相同的 IAM 角色。本頁面列出這些角色授予的 Memorystore for Redis Cluster 權限。如要瞭解這些角色授予的 Memorystore for Redis 權限，請參閱「Memorystore for Redis 存取權控管」頁面。雖然這兩個頁面分別列出權限，但角色會授予 Memorystore for Redis Cluster 和 Memorystore for Redis 的權限。

Memorystore for Redis Cluster 使用的權限命名結構與 Memorystore for Redis 不同：

Memorystore for Redis Cluster 執行個體使用 redis.clusters.[PERMISSION]。
Memorystore for Redis 執行個體會使用 redis.instances.[PERMISSION]。

如要進一步瞭解 Redis 管理員角色，請參閱「預先定義的角色」。

如要瞭解如何在專案中授予使用者角色，請參閱「授予或撤銷單一角色」。

預先定義的角色

下列預先定義角色適用於 Memorystore for Redis Cluster。如果您更新身分與存取權管理主體的角色，變更需要幾分鐘才會生效。

角色	名稱	Redis 權限	說明
`roles/owner`	擁有者	`redis.*`	所有 Google Cloud 資源的完整存取權和控管權；管理使用者存取權
`roles/editor`	編輯者	除了 `*.getIamPolicy` 和 `.setIamPolicy` 以外的所有 `redis` 權限	具備所有 Google Cloud 和 Redis 資源的讀取/寫入權限 (具備完整的控管權限，但無法修改權限)
`roles/viewer`	檢視者	`redis..get redis..list`	具備所有資源的唯讀存取權，包括 Redis 資源 Google Cloud
`roles/redis.admin`	Redis 管理員	`redis.*`	可完整控制所有 Memorystore for Redis Cluster 資源。
`roles/redis.editor`	Redis 編輯者	除了以外的所有 `redis` 權限 `redis.clusters.create redis.clusters.delete redis.clusters.connect`	管理 Memorystore for Redis Cluster 執行個體。但無法建立或刪除執行個體
`roles/redis.viewer`	Redis 檢視者	除了以外的所有 `redis` 權限 `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	具備所有 Memorystore for Redis Cluster 資源的唯讀存取權。
`roles/redis.dbConnectionUser`	Redis 資料庫連線使用者	`redis.clusters.connect`	您可以將這個角色指派給需要透過 IAM 驗證的使用者。

權限與角色

下表列出 Memorystore for Redis Cluster 支援的各項權限，以及包含這些權限的 Memorystore for Redis 角色：

權限	Redis 角色	基本角色
`redis.clusters.list`	Redis 管理員 Redis 編輯者 Redis 檢視者	檢視者
`redis.clusters.get`	Redis 管理員 Redis 編輯者 Redis 檢視者	檢視者
`redis.clusters.create`	Redis 管理員	擁有者
`redis.clusters.update`	Redis 管理員 Redis 編輯者	編輯者
`redis.clusters.connect`	Redis 管理員 Redis 資料庫連線使用者	擁有者
`redis.clusters.rescheduleMaintenance`	Redis 管理員	擁有者

自訂角色

如果預先定義的角色無法滿足您的獨特業務需求，您可以指定權限來定義自己的自訂角色。為了支援這方面的需求，身分與存取權管理提供自訂角色的功能。為 Memorystore for Redis Cluster 建立自訂角色時，請務必同時加入 resourcemanager.projects.get 和 resourcemanager.projects.list。否則， Google Cloud 主控台將無法針對 Memorystore for Redis Cluster 正常運作。詳情請參閱「權限依附元件」。如要瞭解如何建立自訂角色，請參閱「建立自訂角色」。

傳輸中資料加密權限

下表列出為 Memorystore for Redis Cluster 啟用及管理傳輸中資料加密所需的權限。

必須授予權限	建立啟用傳輸中加密的 Memorystore 執行個體	下載憑證授權單位
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

網路連線政策建立角色

如網路頁面所述，網路管理員必須具備本節所述的權限，才能為 Memorystore for Redis Cluster 建立服務連線政策。

如要建立 Memorystore 叢集所需的政策，網路管理員必須具備 networkconnectivity.googleapis.com/consumerNetworkAdmin 角色，該角色會授予下列權限：

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update