Controle de acesso com o IAM

Nesta página, descrevemos como controlar o acesso e as permissões do projeto do Memorystore para Memcached usando o gerenciamento de identidade e acesso (IAM, na sigla em inglês).

Informações gerais

Com o IAM, você controla o acesso a recursos específicos do Google Cloud em um nível granular e também impede o acesso indesejado a esses recursos. Para uma descrição detalhada dos papéis e permissões, consulte a documentação do IAM.

O Memorystore para Memcached fornece um conjunto de papéis predefinidos projetados para ajudar você a controlar facilmente o acesso aos recursos do Memcached. Se os papéis predefinidos não fornecerem os conjuntos de permissões necessárias, você também poderá criar papéis personalizados. Além disso, os papéis básicos antigos (Editor, Leitor e Proprietário) ainda estão disponíveis para você, ainda que não forneçam o mesmo controle refinado que os papéis do Memorystore para Memcached. Especificamente, os papéis básicos fornecem acesso a recursos no Google Cloud, e não apenas no Memorystore para Memcached. Para mais informações sobre papéis básicos, consulte Papéis básicos.

Permissões e papéis

Esta seção resume as permissões e papéis compatíveis com o Memorystore para Memcached.

Papéis predefinidos

O Memorystore para Memcached fornece papéis predefinidos que podem ser usados para fornecer permissões mais granulares aos principais. O papel concedido a um principal controla quais ações ele pode tomar. Os principais podem ser indivíduos, grupos ou contas de serviço.

Conceda diversos papéis ao mesmo principal e altere-os a qualquer momento.

Os papéis mais amplos são definidos de forma mais restrita. Por exemplo, o papel Editor do Memcached inclui todas as permissões do papel Leitor do Memcached, além da adição de permissões para o papel Editor do Memcached. Da mesma forma, o papel Administrador do Memcached inclui todas as permissões do papel Editor do Memcached, junto com as permissões adicionais.

Os papéis básicos, como Proprietário, Editor e leitor, fornecem permissões no Google Cloud. Os papéis específicos do Memorystore para Memcached fornecem apenas permissões do Memorystore para Memcached, exceto as seguintes permissões do Google Cloud, que são necessárias para o uso geral do Google Cloud:

resourcemanager.projects.get
resourcemanager.projects.list

A tabela a seguir lista os papéis predefinidos disponíveis para o Memorystore para Memcached e as permissões do Memorystore para Memcached:

Papel Nome Permissões do Memcached Descrição

roles/owner

Proprietário

memcache.*

Controle e acesso total a todos os recursos do Google Cloud, gerencie o acesso do usuário

roles/editor

Editor Todas as permissões memcache , exceto *.getIamPolicy e .setIamPolicy Acesso de leitura e gravação a todos os recursos do Google Cloud e do Memcached (controle total, exceto a capacidade de modificar permissões)

roles/viewer

Leitor

memcache.*.get memcache.*.list

Acesso somente leitura a todos os recursos do Google Cloud, incluindo recursos do Memcached

roles/memcache.admin

Administrador do Memcached

memcache.*

Controle total de todos os recursos do Memorystore para Memcached.

roles/memcache.editor

Editor do Memcached Todas as permissões de memcache, exceto

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Gerencie as instâncias do Memorystore para Memcached. Não pode criar ou excluir instâncias.

roles/memcache.viewer

Leitor do Memcached Todas as permissões de memcache, exceto

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Acesso somente leitura a todos os recursos do Memorystore para Memcached.

Permissões e os papéis delas

A tabela a seguir lista as permissões compatíveis com o Memorystore para Memcached e os papéis do Memorystore para Memcached que incluem:

Permissão Papel do Memcached Papel básico

memcache.instances.list

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.instances.get

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.instances.create

Administrador do Memcached Editor

memcache.instances.update

Administrador do Memcached
Editor do Memcached
Editor

memcache.instances.delete

Administrador do Memcached Editor

memcache.instances.applyParameters

Administrador do Memcached
Editor do Memcached
Editor

memcache.instances.updateParameters

Administrador do Memcached
Editor do Memcached
Editor

memcache.instances.applySoftwareUpdate

Administrador do Memcached
Editor do Memcached
Gravador

memcache.instances.upgrade

Administrador do Memcached Gravador

memcache.locations.list

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.locations.get

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.operations.list

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.operations.get

Administrador do Memcached
Editor do Memcached
Leitor do Memcached
Leitor

memcache.operations.delete

Administrador do Memcached
Editor do Memcached
Editor

papéis personalizados

Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Ao criar papéis personalizados para o Memorystore para Memcached, inclua resourcemanager.projects.get e resourcemanager.projects.list. Para mais informações, consulte Dependências de permissão.

Permissões necessárias para tarefas comuns no console do Google Cloud.

Para permitir que um usuário trabalhe com o Memorystore para Memcached usando o console do Google Cloud, o papel do usuário precisa incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.

A tabela a seguir fornece as outras permissões necessárias para algumas tarefas comuns no console do Google Cloud:

Tarefa Permissões adicionais necessárias
Exibir a página de listagem de instâncias

memcache.instances.get
memcache.instances.list

Criar e editar uma instância

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

Excluir uma instância

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Conectar-se a uma instância do Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Como fazer upgrade da versão do Memcached de uma instância

memcache.instances.upgrade

Exibir informações da instância

memcache.instances.get
monitoring.timeSeries.list

Permissões necessárias para comandos gcloud

Para permitir que um usuário trabalhe com o Memorystore para Memcached usando comandos gcloud, o papel do usuário precisa incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.

A tabela a seguir lista as permissões que o usuário que invoca um comando gcloud precisa ter para cada subcomando gcloud memcache:

Comando Permissões necessárias
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances upgrade

memcache.instances.upgrade

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

Permissões necessárias para métodos de API

A tabela a seguir lista as permissões que o usuário precisa ter para chamar cada método na API Memorystore for Memcached ou para executar tarefas usando ferramentas do Google Cloud que usam a API, como o console do Google Cloud ou a ferramenta de linha de comando gcloud:

Método Permissões necessárias

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.upgrade

memcache.instances.upgrade

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Permissões da política de manutenção

A tabela abaixo mostra as permissões necessárias para gerenciar a política de manutenção do Memorystore para Memcached.

Permissões necessárias Criar uma instância do Memorystore com uma política de manutenção ativada Criar ou modificar políticas de manutenção em uma instância do Memorystore Como visualizar as configurações da política de manutenção Como reprogramar uma manutenção
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

A seguir