En esta página se describe cómo controlar el acceso y los permisos de los proyectos de Memorystore para Memcached mediante Gestión de Identidades y Accesos (IAM).
Información general
IAM te permite controlar el acceso a recursos Google Cloud específicos a un nivel granular y, además, evita el acceso no deseado a esos recursos. Para obtener una descripción detallada de los roles y permisos, consulta la documentación de gestión de identidades y accesos.
Memorystore para Memcached ofrece un conjunto de roles predefinidos diseñados para ayudarte a controlar fácilmente el acceso a tus recursos de Memcached. Si los roles predefinidos no proporcionan los conjuntos de permisos que necesitas, también puedes crear roles personalizados. Además, los roles básicos antiguos (Editor, Lector y Propietario) siguen estando disponibles, aunque no proporcionan el mismo control detallado que los roles de Memorystore para Memcached. En concreto, los roles básicos proporcionan acceso a los recursos deGoogle Cloud, no solo a los de Memorystore para Memcached. Para obtener más información sobre los roles básicos, consulta Roles básicos.
Permisos y roles
En esta sección se resumen los permisos y los roles que admite Memorystore para Memcached.
Funciones predefinidas
Memorystore para Memcached proporciona roles predefinidos que puedes usar para conceder permisos más específicos a las entidades. El rol que asignes a una entidad principal controla las acciones que puede llevar a cabo. Las entidades principales pueden ser personas, grupos o cuentas de servicio.
Puedes conceder varios roles al mismo principal y cambiar los roles en cualquier momento.
Los roles más generales se definen de forma más específica. Por ejemplo, el rol Editor de Memcached incluye todos los permisos del rol Lector de Memcached, además de los permisos del rol Editor de Memcached. Del mismo modo, el rol Administrador de Memcached incluye todos los permisos del rol Editor de Memcached, así como sus permisos adicionales.
Los roles básicos (Propietario, Editor y Lector) proporcionan permisos en Google Cloud. Los roles específicos de Memorystore para Memcached solo proporcionan permisos de Memorystore para Memcached, excepto los siguientes permisos, que son necesarios para el uso general: Google Cloud Google Cloud
resourcemanager.projects.get
resourcemanager.projects.list
En la siguiente tabla se enumeran los roles predefinidos disponibles en Memorystore para Memcached, junto con sus permisos de Memorystore para Memcached:
| Rol | Nombre | Permisos de Memcached | Descripción |
|---|---|---|---|
|
Propietario |
|
Acceso y control completos de todos los Google Cloud recursos; gestiona el acceso de los usuarios |
|
Editor | Todos los memcache permisos excepto *.getIamPolicy &
.setIamPolicy |
Acceso de lectura y escritura a todos los recursos de Google Cloud y Memcached (control total, excepto la capacidad de modificar permisos) |
|
Lector |
|
Acceso de solo lectura a todos los recursos, incluidos los recursos de Memcached. Google Cloud |
|
Administrador de Memcached |
|
Control total de todos los recursos de Memorystore para Memcached. |
|
Editor de Memcached | Todos los permisos de memcache, excepto
|
Gestionar instancias de Memorystore para Memcached. No se pueden crear ni eliminar instancias. |
|
Visor de Memcached | Todos los permisos de memcache, excepto
|
Acceso de solo lectura a todos los recursos de Memorystore para Memcached. |
Permisos y sus funciones
En la siguiente tabla se enumeran los permisos que admite Memorystore para Memcached y los roles de Memorystore para Memcached que los incluyen:
| Permiso | Rol de Memcached | Rol básico |
|---|---|---|
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached | Editor |
|
Administrador de Memcached Editor de Memcached |
Editor |
|
Administrador de Memcached | Editor |
|
|
Administrador de Memcached Editor de Memcached |
Editor |
|
|
Administrador de Memcached Editor de Memcached |
Editor |
|
|
Administrador de Memcached Editor de Memcached |
Editor |
|
|
Administrador de Memcached | Editor |
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached Editor de Memcached Lector de Memcached |
Google Reader |
|
Administrador de Memcached Editor de Memcached |
Editor |
Roles personalizados
Si los roles predefinidos no se ajustan a los requisitos específicos de tu empresa, puedes definir tus propios roles personalizados con los permisos que especifiques. Cuando crees roles personalizados para Memorystore para Memcached, asegúrate de incluir resourcemanager.projects.get y resourcemanager.projects.list.
Para obtener más información, consulta Dependencias de permisos.
Permisos necesarios para realizar tareas habituales en la consola Google Cloud
Para permitir que un usuario trabaje con Memorystore para Memcached mediante la consola, el rol del usuario debe incluir los permisos Google Cloud , resourcemanager.projects.get y resourcemanager.projects.list.
En la siguiente tabla se indican los permisos necesarios para realizar algunas tareas habituales en la consola de Google Cloud :
| Tarea | Permisos adicionales obligatorios |
|---|---|
| Mostrar la página de lista de instancias |
|
| Crear y editar una instancia |
|
| Eliminar una instancia |
|
| Conectarse a una instancia de Cloud Shell |
|
| Actualizar la versión de Memcached de una instancia |
|
| Ver información sobre instancias |
|
Permisos obligatorios para los comandos de gcloud
Para permitir que un usuario trabaje con Memorystore para Memcached mediante comandos gcloud, el rol del usuario debe incluir los permisos resourcemanager.projects.get y resourcemanager.projects.list.
En la siguiente tabla se enumeran los permisos que debe tener el usuario que invoca un comando gcloud
para cada subcomando gcloud memcache:
| Comando | Permisos obligatorios |
|---|---|
gcloud memcache instances create |
|
gcloud memcache instances delete |
|
gcloud memcache instances update |
|
gcloud memcache instances upgrade |
|
gcloud memcache instances list |
|
gcloud memcache instances describe |
|
gcloud memcache instances apply-parameters |
|
gcloud beta memcache instances apply-software-update |
|
gcloud memcache operations list |
|
gcloud memcache operations describe |
|
gcloud memcache regions list |
|
gcloud memcache regions describe |
|
gcloud memcache zones list |
|
Permisos obligatorios para los métodos de API
En la siguiente tabla se indican los permisos que debe tener el usuario para llamar a cada método de la API Memorystore para Memcached o para realizar tareas conGoogle Cloud herramientas que usan la API (como la consola Google Cloud o la herramienta de línea de comandos gcloud):
| Método | Permisos obligatorios |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Permisos de la política de mantenimiento
En la siguiente tabla se muestran los permisos necesarios para gestionar la política de mantenimiento de Memorystore para Memcached.
| Permisos necesarios | Crear una instancia de Memorystore con una política de mantenimiento habilitada | Crear o modificar políticas de mantenimiento en una instancia de Memorystore | Ver la configuración de la política de mantenimiento | Reprogramar el mantenimiento |
|---|---|---|---|---|
memcache.instances.create
|
✓ | X | X | X |
memcache.instances.update
|
X | ✓ | X | X |
memcache.instances.get
|
X | X | ✓ | X |
memcache.instances.rescheduleMaintenance
|
X | X | X | ✓ |
Siguientes pasos
- Monitoriza tus instancias de Memcached.
- Consulta los registros de auditoría de tu instancia de Memcached.