使用 IAM 控制访问权限

本页面介绍如何使用 Identity and Access Management (IAM) 控制 Memorystore for Memcached 的项目访问和权限。

概览

借助 IAM，您可以精细地控制对特定 Google Cloud 资源的访问权限，还可以防止意外访问这些资源。如需详细了解角色和权限，请参阅 IAM 文档。

Memorystore for Memcached 提供了一组预定义角色，旨在帮您轻松控制对 Memcached 资源的访问权限。如果预定义角色未提供您所需的权限，您还可以创建自己的自定义角色。此外，旧版基本角色（Editor、Viewer 和 Owner）仍可供您使用，但这些角色提供的控制不如 Memorystore for Memcached 角色那样精细。具体而言，基本角色提供的是对整个 Google Cloud 资源的访问权限，而不仅仅是对 Memorystore for Memcached 的访问权限。如需详细了解基本角色，请参阅基本角色。

权限和角色

本部分汇总了 Memorystore for Memcached 支持的各种权限和角色。

预定义角色

Memorystore for Memcached 提供了预定义角色，可供您用来为主账号提供更精细的权限。您授予主账号的角色决定了该主账号可以执行的操作。主账号可以是个人、群组或服务账号。

您可以为同一主账号授予多个角色，并且可以随时更改这些角色。

范围越广的角色定义的权限范围越窄。例如，Memcached Editor 角色不但拥有 Memcached Viewer 角色的所有权限，而且还添加了 Memcached Editor 角色的若干权限。同样，Memcached Admin 角色不但拥有 Memcached Editor 角色的所有权限，而且还添加了一些专有权限。

基本角色（Owner、Editor、Viewer）提供对整个 Google Cloud 的权限。Memorystore for Memcached 专有角色仅提供 Memorystore for Memcached 权限，但以下 Google Cloud 权限除外，因为这些是 Google Cloud 常规使用所需的权限：

resourcemanager.projects.get
resourcemanager.projects.list

下表列出了适用于 Memorystore for Memcached 的预定义角色及其所含的 Memorystore for Memcached 权限：

角色	名称	Memcached 权限	说明
`roles/owner`	Owner	`memcache.*`	对所有 Google Cloud 资源拥有完整访问权限和控制权；可以管理用户访问权限
`roles/editor`	Editor	除以下权限以外的所有 `memcache` 权限： `*.getIamPolicy` 和 `.setIamPolicy`	对所有 Google Cloud 和 Memcached 资源拥有读写权限（拥有完全控制权，但不能修改权限）
`roles/viewer`	Viewer	`memcache..get memcache..list`	对所有 Google Cloud 资源（包括 Memcached 资源）拥有只读权限
`roles/memcache.admin`	Memcached Admin	`memcache.*`	对所有 Memorystore for Memcached 资源拥有完全控制权。
`roles/memcache.editor`	Memcached Editor	除以下权限以外的所有 `memcache` 权限 `memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	管理 Memorystore for Memcached 实例。无法创建或删除实例。
`roles/memcache.viewer`	Memcached Viewer	除以下权限以外的所有 `memcache` 权限 `memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	拥有对所有 Memorystore for Memcached 资源的只读权限。

权限及其对应的角色

下表列出了 Memorystore for Memcached 支持的权限以及拥有这些权限的 Memorystore for Memcached 角色：

权限	Memcached 角色	基本角色
`memcache.instances.list`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.instances.get`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.instances.create`	Memcached Admin	Writer
`memcache.instances.update`	Memcached Admin Memcached Editor	Writer
`memcache.instances.delete`	Memcached Admin	Writer
`memcache.instances.applyParameters`	Memcached Admin Memcached Editor	Writer
`memcache.instances.updateParameters`	Memcached Admin Memcached Editor	Writer
`memcache.instances.applySoftwareUpdate`	Memcached Admin Memcached Editor	Writer
`memcache.instances.upgrade`	Memcached Admin	Writer
`memcache.locations.list`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.locations.get`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.operations.list`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.operations.get`	Memcached Admin Memcached Editor Memcached Viewer	Reader
`memcache.operations.delete`	Memcached Admin Memcached Editor	Writer

自定义角色

如果预定义角色不能满足您的独特业务需求，您可以使用指定的权限定义自己的自定义角色。在为 Memorystore for Memcached 创建自定义角色时，请务必同时包含 resourcemanager.projects.get 和 resourcemanager.projects.list。如需了解详情，请参阅权限依赖项。

Google Cloud 控制台中常见任务所需的权限

为了让用户能够通过 Google Cloud 控制台使用 Memorystore for Memcached，用户的角色必须包含 resourcemanager.projects.get 和 resourcemanager.projects.list 权限。

下表提供了在 Google Cloud 控制台中执行一些常见任务所需的其他权限：

任务	其他必需权限
显示实例列表页面	`memcache.instances.get memcache.instances.list`
创建和修改实例	`memcache.instances.create memcache.instances.get memcache.instances.list memcache.instances.update memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate compute.networks.list`
删除实例	`memcache.instances.delete memcache.instances.get memcache.instances.list`
使用 Cloud Shell 连接到实例	`memcache.instances.get memcache.instances.list memcache.instances.update`
升级实例的 Memcached 版本	`memcache.instances.upgrade`
查看实例信息	`memcache.instances.get monitoring.timeSeries.list`

gcloud 命令所需的权限

为了让用户能够通过 gcloud 命令使用 Memorystore for Memcached，用户的角色必须包含 resourcemanager.projects.get 和 resourcemanager.projects.list 权限。

下表列出了调用 gcloud 命令的用户必须对各个 gcloud memcache 子命令拥有的权限：

命令	所需权限
`gcloud memcache instances create`	`memcache.instances.get memcache.instances.create`
`gcloud memcache instances delete`	`memcache.instances.delete`
`gcloud memcache instances update`	`memcache.instances.get memcache.instances.update memcache.instances.updateParameters`
`gcloud memcache instances upgrade`	`memcache.instances.upgrade`
`gcloud memcache instances list`	`memcache.instances.list`
`gcloud memcache instances describe`	`memcache.instances.get`
`gcloud memcache instances apply-parameters`	`memcache.instances.applyParameters`
`gcloud beta memcache instances apply-software-update`	`memcache.instances.applySoftwareUpdate`
`gcloud memcache operations list`	`memcache.operations.list`
`gcloud memcache operations describe`	`memcache.operations.get`
`gcloud memcache regions list`	`memcache.locations.list`
`gcloud memcache regions describe`	`memcache.locations.get`
`gcloud memcache zones list`	`memcache.locations.list`

API 方法所需的权限

下表列出了用户在调用 Memorystore for Memcached API 中的每种方法时，或通过使用该 API 的 Google Cloud 工具（如 Google Cloud 控制台或 gcloud 命令行工具）执行任务时必须具备的权限：

方法	所需权限
`locations.get`	`memcache.locations.get`
`locations.list`	`memcache.locations.list`
`instances.create`	`memcache.instances.create`
`instances.delete`	`memcache.instances.delete`
`instances.get`	`memcache.instances.get`
`instances.upgrade`	`memcache.instances.upgrade`
`instances.list`	`memcache.instances.list`
`instances.patch`	`memcache.instances.update`
`instances.updateParameters`	`memcache.instances.updateParameters`
`instances.applyParameters`	`memcache.instances.applyParameters`
`instances.applySoftwareUpdate`	`memcache.instances.applySoftwareUpdate`
`operations.get`	`memcache.operations.get`
`operations.list`	`memcache.operations.list`

维护政策权限

下表显示了管理 Memorystore for Memcached 的维护政策所需的权限。

所需权限	创建启用了维护政策的 Memorystore 实例	在现有 Memorystore 实例上创建或修改维护政策	查看维护政策设置	重新安排维护
`memcache.instances.create`	✓	X	X	X
`memcache.instances.update`	X	✓	X	X
`memcache.instances.get`	X	X	✓	X
`memcache.instances.rescheduleMaintenance`	X	X	X	✓

后续步骤

监控 Memcached 实例。
查看 Memcached 实例的审核日志。