Nesta página, descrevemos como controlar o acesso e as permissões do projeto do Memorystore para Memcached usando o gerenciamento de identidade e acesso (IAM, na sigla em inglês).
Informações gerais
Com o IAM, você controla o acesso a recursos específicos do Google Cloud em um nível granular e também impede o acesso indesejado a esses recursos. Para uma descrição detalhada dos papéis e permissões, consulte a documentação do IAM.
O Memorystore para Memcached fornece um conjunto de papéis predefinidos projetados para ajudar você a controlar facilmente o acesso aos recursos do Memcached. Se os papéis predefinidos não fornecerem os conjuntos de permissões necessárias, você também poderá criar papéis personalizados. Além disso, os papéis básicos antigos (Editor, Leitor e Proprietário) ainda estão disponíveis para você, ainda que não forneçam o mesmo controle refinado que os papéis do Memorystore para Memcached. Especificamente, os papéis básicos fornecem acesso a recursos no Google Cloud, e não apenas no Memorystore para Memcached. Para mais informações sobre papéis básicos, consulte Papéis básicos.
Permissões e papéis
Esta seção resume as permissões e papéis compatíveis com o Memorystore para Memcached.
Papéis predefinidos
O Memorystore para Memcached fornece papéis predefinidos que podem ser usados para fornecer permissões mais granulares aos principais. O papel concedido a um principal controla quais ações ele pode tomar. Os principais podem ser indivíduos, grupos ou contas de serviço.
Conceda diversos papéis ao mesmo principal e altere-os a qualquer momento.
Os papéis mais amplos são definidos de forma mais restrita. Por exemplo, o papel Editor do Memcached inclui todas as permissões do papel Leitor do Memcached, além da adição de permissões para o papel Editor do Memcached. Da mesma forma, o papel Administrador do Memcached inclui todas as permissões do papel Editor do Memcached, junto com as permissões adicionais.
Os papéis básicos, como Proprietário, Editor e leitor, fornecem permissões no Google Cloud. Os papéis específicos do Memorystore para Memcached fornecem apenas permissões do Memorystore para Memcached, exceto as seguintes permissões do Google Cloud, que são necessárias para o uso geral do Google Cloud:
resourcemanager.projects.get
resourcemanager.projects.list
A tabela a seguir lista os papéis predefinidos disponíveis para o Memorystore para Memcached e as permissões do Memorystore para Memcached:
| Papel | Nome | Permissões do Memcached | Descrição |
|---|---|---|---|
|
Proprietário |
|
Controle e acesso total a todos os recursos do Google Cloud, gerencie o acesso do usuário |
|
Editor | Todas as permissões memcache , exceto *.getIamPolicy e
.setIamPolicy |
Acesso de leitura e gravação a todos os recursos do Google Cloud e do Memcached (controle total, exceto a capacidade de modificar permissões) |
|
Leitor |
|
Acesso somente leitura a todos os recursos do Google Cloud, incluindo recursos do Memcached |
|
Administrador do Memcached |
|
Controle total de todos os recursos do Memorystore para Memcached. |
|
Editor do Memcached | Todas as permissões de memcache, exceto
|
Gerencie as instâncias do Memorystore para Memcached. Não pode criar ou excluir instâncias. |
|
Leitor do Memcached | Todas as permissões de memcache, exceto
|
Acesso somente leitura a todos os recursos do Memorystore para Memcached. |
Permissões e os papéis delas
A tabela a seguir lista as permissões compatíveis com o Memorystore para Memcached e os papéis do Memorystore para Memcached que incluem:
| Permissão | Papel do Memcached | Papel básico |
|---|---|---|
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached | Editor |
|
Administrador do Memcached Editor do Memcached |
Editor |
|
Administrador do Memcached | Editor |
|
|
Administrador do Memcached Editor do Memcached |
Editor |
|
|
Administrador do Memcached Editor do Memcached |
Editor |
|
|
Administrador do Memcached Editor do Memcached |
Gravador |
|
|
Administrador do Memcached | Gravador |
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached Editor do Memcached Leitor do Memcached |
Leitor |
|
Administrador do Memcached Editor do Memcached |
Editor |
papéis personalizados
Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Ao criar papéis personalizados para o Memorystore para Memcached, inclua resourcemanager.projects.get e resourcemanager.projects.list.
Para mais informações, consulte Dependências de permissão.
Permissões necessárias para tarefas comuns no console do Google Cloud.
Para permitir que um usuário trabalhe com o Memorystore para Memcached usando o console do Google Cloud, o papel do usuário precisa incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.
A tabela a seguir fornece as outras permissões necessárias para algumas tarefas comuns no console do Google Cloud:
| Tarefa | Permissões adicionais necessárias |
|---|---|
| Exibir a página de listagem de instâncias |
|
| Criar e editar uma instância |
|
| Excluir uma instância |
|
| Conectar-se a uma instância do Cloud Shell |
|
| Como fazer upgrade da versão do Memcached de uma instância |
|
| Exibir informações da instância |
|
Permissões necessárias para comandos gcloud
Para permitir que um usuário trabalhe com o Memorystore para Memcached usando comandos gcloud, o papel do usuário precisa incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.
A tabela a seguir lista as permissões que o usuário que invoca um comando gcloud precisa ter para cada subcomando gcloud memcache:
| Comando | Permissões necessárias |
|---|---|
gcloud memcache instances create |
|
gcloud memcache instances delete |
|
gcloud memcache instances update |
|
gcloud memcache instances upgrade |
|
gcloud memcache instances list |
|
gcloud memcache instances describe |
|
gcloud memcache instances apply-parameters |
|
gcloud beta memcache instances apply-software-update |
|
gcloud memcache operations list |
|
gcloud memcache operations describe |
|
gcloud memcache regions list |
|
gcloud memcache regions describe |
|
gcloud memcache zones list |
|
Permissões necessárias para métodos de API
A tabela a seguir lista as permissões que o usuário precisa ter para chamar cada
método na API Memorystore for Memcached ou para executar tarefas usando
ferramentas do Google Cloud que usam a API, como o console do Google Cloud
ou a ferramenta de linha de comando gcloud:
| Método | Permissões necessárias |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Permissões da política de manutenção
A tabela abaixo mostra as permissões necessárias para gerenciar a política de manutenção do Memorystore para Memcached.
| Permissões necessárias | Criar uma instância do Memorystore com uma política de manutenção ativada | Criar ou modificar políticas de manutenção em uma instância do Memorystore | Como visualizar as configurações da política de manutenção | Como reprogramar uma manutenção |
|---|---|---|---|---|
memcache.instances.create
|
✓ | X | X | X |
memcache.instances.update
|
X | ✓ | X | X |
memcache.instances.get
|
X | X | ✓ | X |
memcache.instances.rescheduleMaintenance
|
X | X | X | ✓ |
A seguir
- Monitore as instâncias do Memcached.
- Veja os registros de auditoria da sua instância do Memcached.