Auf dieser Seite wird beschrieben, wie Sie den Projektzugriff und Berechtigungen für Memorystore for Memcached mit Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) steuern können.
Überblick
Mit IAM können Sie den Zugriff auf bestimmte Google Cloud-Ressourcen detailliert steuern und unerwünschten Zugriff auf diese Ressourcen verhindern. Eine ausführliche Beschreibung der Rollen und Berechtigungen finden Sie in der IAM-Dokumentation.
Memorystore for Memcached bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Memcached-Ressourcen einfach steuern können. Wenn die vordefinierten Rollen nicht die erforderlichen Berechtigungen bieten, können Sie auch benutzerdefinierte Rollen erstellen. Darüber hinaus stehen Ihnen weiterhin die älteren einfachen Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, auch wenn diese nicht die gleiche Feinsteuerung wie die Memorystore for Memcached-Rollen bieten. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Memorystore for Memcached. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen.
Berechtigungen und Rollen
In diesem Abschnitt werden die Berechtigungen und Rollen zusammengefasst, die Memorystore for Memcached unterstützt.
Vordefinierte Rollen
Memorystore for Memcached bietet vordefinierte Rollen, mit denen Sie detailliertere Berechtigungen für Hauptkonten bereitstellen können. Die Rolle, die Sie einem Hauptkonto zuweisen, legt fest, welche Aktionen mit dem Hauptkonto ausgeführt werden können. Hauptkonten können Einzelpersonen, Gruppen oder Dienstkonten sein.
Sie können demselben Hauptkonto mehrere Rollen zuweisen und die Rollen jederzeit ändern.
Umfassendere Rollen sind enger definiert. Die Rolle "Memcached-Bearbeiter" enthält beispielsweise alle Berechtigungen der Rolle "Memcached-Betrachter" sowie die Berechtigungen der Memcached-Bearbeiterrolle. Die Memcached-Administratorrolle umfasst außerdem alle Berechtigungen der Rolle "Memcached-Bearbeiter" sowie dessen zusätzliche Berechtigungen.
Die einfachen Rollen (Inhaber, Bearbeiter, Betrachter) stellen Berechtigungen für Google Cloud bereit. Die Rollen für Memorystore for Memcached bieten nur Memorystore for Memcached-Berechtigungen, mit Ausnahme der folgenden Google Cloud-Berechtigungen, die für die allgemeine Nutzung von Google Cloud erforderlich sind:
resourcemanager.projects.get
resourcemanager.projects.list
In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die für Memorystore for Memcached verfügbar sind, zusammen mit ihren Memorystore for Memcached-Berechtigungen:
| Rolle | Name | Memcached-Berechtigungen | Beschreibung |
|---|---|---|---|
|
Owner |
|
Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs |
|
Editor | Alle memcache -Berechtigungen, außer für *.getIamPolicy
.setIamPolicy |
Lese- und Schreibzugriff auf alle Google Cloud- und Memcached-Ressourcen (vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern) |
|
Betrachter |
|
Schreibgeschützter Zugriff auf alle Google Cloud-Ressourcen, einschließlich Memcached-Ressourcen |
|
Memcached-Administrator |
|
Uneingeschränkte Kontrolle über alle Memorystore for Memcached-Ressourcen. |
|
Memcached-Bitbearbeiter | Alle memcache-Berechtigungen außer
|
Memorystore for Memcached-Instanzen verwalten. Kann keine Instanzen erstellen oder löschen. |
|
Memcached-Betrachter | Alle memcache-Berechtigungen außer
|
Lesezugriff auf alle Memorystore for Memcached-Ressourcen. |
Berechtigungen und ihre Rollen
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Memorystore for Memcached unterstützt, sowie die zugehörigen Memorystore for Memcached-Rollen:
| Permission | Memcached-Rolle | Einfache Rolle |
|---|---|---|
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator | Autor |
|
Memcached-Administrator Memcached-Bearbeiter |
Autor |
|
Memcached-Administrator | Autor |
|
|
Memcached-Administrator Memcached-Bearbeiter |
Autor |
|
|
Memcached-Administrator Memcached-Bearbeiter |
Autor |
|
|
Memcached-Administrator Memcached-Bearbeiter |
Writer |
|
|
Memcached-Administrator | Writer |
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator Memcached-Bearbeiter Memcached-Betrachter |
Leser |
|
Memcached-Administrator Memcached-Bearbeiter |
Autor |
Benutzerdefinierte Rollen
Wenn die vordefinierten Rollen Ihren speziellen Geschäftsanforderungen nicht gerecht werden, können Sie eigene benutzerdefinierte Rollen definieren. Dabei lassen sich die gewünschten Berechtigungen festlegen. Achten Sie beim Erstellen benutzerdefinierter Rollen für Memorystore for Memcached darauf, dass Sie auch resourcemanager.projects.get und resourcemanager.projects.list angeben.
Weitere Informationen finden Sie unter Berechtigungsabhängigkeiten.
Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console
Damit ein Nutzer über die Google Cloud Console mit Memorystore for Memcached arbeiten kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list enthalten.
Die folgende Tabelle enthält weitere Berechtigungen, die für einige allgemeine Aufgaben in der Google Cloud Console erforderlich sind:
| Task | Zusätzliche erforderliche Berechtigungen |
|---|---|
| Seite mit der Instanzliste anzeigen |
|
| Instanz erstellen und bearbeiten |
|
| Instanz löschen |
|
| Verbindung zu einer Instanz aus der Cloud Shell herstellen |
|
| Upgrade der Memcached-Version einer Instanz durchführen |
|
| Instanzinformationen aufrufen |
|
Erforderliche Berechtigungen für gcloud-Befehle
Damit ein Nutzer Memorystore for Memcached mit gcloud-Befehlen verwenden kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list enthalten.
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer, der einen gcloud-Befehl aufruft, für jeden Unterbefehl gcloud memcache haben muss:
| Befehl | Erforderliche Berechtigungen |
|---|---|
gcloud memcache instances create |
|
gcloud memcache instances delete |
|
gcloud memcache instances update |
|
gcloud memcache instances upgrade |
|
gcloud memcache instances list |
|
gcloud memcache instances describe |
|
gcloud memcache instances apply-parameters |
|
gcloud beta memcache instances apply-software-update |
|
gcloud memcache operations list |
|
gcloud memcache operations describe |
|
gcloud memcache regions list |
|
gcloud memcache regions describe |
|
gcloud memcache zones list |
|
Erforderliche Berechtigungen für API-Methoden
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer haben muss, um die einzelnen Methoden in der Memorystore for Memcached API aufzurufen oder Aufgaben mit Google Cloud-Tools auszuführen, die die API verwenden (z. B. die Google Cloud Console oder das gcloud-Befehlszeilentool):
| Methode | Erforderliche Berechtigungen |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Berechtigungen für Wartungsrichtlinien
In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Verwalten der Wartungsrichtlinie für Memorystore for Memcached erforderlich sind.
| Berechtigungen erforderlich | Memorystore-Instanz mit aktivierter Wartungsrichtlinie erstellen | Wartungsrichtlinien für eine vorhandene Memorystore-Instanz erstellen oder ändern | Einstellungen für Wartungsrichtlinien aufrufen | Wartung verschieben |
|---|---|---|---|---|
memcache.instances.create
|
✓ | X | X | X |
memcache.instances.update
|
X | ✓ | X | X |
memcache.instances.get
|
X | X | ✓ | X |
memcache.instances.rescheduleMaintenance
|
X | X | X | ✓ |
Nächste Schritte
- Memcached-Instanzen beobachten
- Audit-Logs für Ihre Memcached-Instanz aufrufen.