Kontrol akses dengan IAM

Halaman ini menjelaskan cara mengontrol akses dan izin project untuk Memorystore untuk Memcached menggunakan Identity and Access Management (IAM).

Ringkasan

IAM memungkinkan Anda mengontrol akses ke resource Google Cloud tertentu pada tingkat terperinci, dan juga mencegah akses yang tidak diinginkan ke resource tersebut. Untuk mengetahui deskripsi mendetail tentang peran dan izin, lihat dokumentasi IAM.

Memorystore for Memcached menyediakan serangkaian peran standar yang dirancang untuk membantu Anda mengontrol akses ke resource Memcached dengan mudah. Jika peran yang telah ditetapkan tidak menyediakan kumpulan izin yang Anda perlukan, Anda juga dapat membuat peran khusus. Selain itu, peran dasar lama (Editor, Viewer, dan Pemilik) masih tersedia untuk Anda, meskipun mereka tidak memberikan kontrol terperinci yang sama dengan peran Memorystore untuk Memcached. Secara khusus, peran dasar memberikan akses ke resource di seluruh Google Cloud, bukan hanya untuk Memorystore for Memcached. Untuk mengetahui informasi selengkapnya tentang peran dasar, lihat Peran dasar.

Izin dan peran

Bagian ini merangkum izin dan peran yang didukung Memorystore for Memcached.

Peran yang telah ditetapkan

Memorystore for Memcached menyediakan peran bawaan yang dapat Anda gunakan untuk memberikan izin yang lebih terperinci kepada akun utama. Peran yang Anda berikan kepada akun utama mengontrol tindakan yang dapat dilakukan akun utama. Akun utama dapat berupa individu, grup, atau akun layanan.

Anda dapat memberikan beberapa peran ke akun utama yang sama, dan dapat mengubah peran tersebut kapan saja.

Peran yang lebih luas didefinisikan lebih sempit. Misalnya, peran Editor Memcached menyertakan semua izin peran Viewer Memcached, beserta penambahan izin untuk peran Editor Memcached. Demikian juga, peran Admin Memcached mencakup semua izin peran Editor Memcached, beserta izin tambahannya.

Peran dasar (Pemilik, Editor, Viewer) memberikan izin di seluruh Google Cloud. Peran khusus untuk Memorystore for Memcached hanya memberikan izin Memorystore for Memcached, kecuali untuk izin Google Cloud berikut, yang diperlukan untuk penggunaan Google Cloud secara umum:

resourcemanager.projects.get
resourcemanager.projects.list

Tabel berikut berisi daftar peran bawaan yang tersedia untuk Memorystore for Memcached, beserta izin Memorystore for Memcached-nya:

Peran Nama Izin Memcached Deskripsi

roles/owner

Pemilik

memcache.*

Akses dan kontrol penuh untuk semua resource Google Cloud; mengelola akses pengguna

roles/editor

Editor Semua izin memcache kecuali untuk *.getIamPolicy & .setIamPolicy Akses baca-tulis ke semua resource Google Cloud dan Memcached (kontrol penuh kecuali untuk kemampuan mengubah izin)

roles/viewer

Pelihat

memcache.*.get memcache.*.list

Akses hanya baca ke semua resource Google Cloud, termasuk resource Memcached

roles/memcache.admin

Memcached Admin

memcache.*

Kontrol penuh untuk semua resource Memorystore for Memcached.

roles/memcache.editor

Memcached Editor Semua izin memcache kecuali

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Mengelola instance Memorystore for Memcached. Tidak dapat membuat atau menghapus instance.

roles/memcache.viewer

Memcached Viewer Semua izin memcache kecuali

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Akses baca saja ke semua resource Memorystore for Memcached.

Izin dan perannya

Tabel berikut mencantumkan izin yang didukung oleh Memorystore for Memcached, dan peran Memorystore for Memcached yang menyertakannya:

Izin Peran memcached Peran dasar

memcache.instances.list

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.instances.get

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.instances.create

Memcached Admin Penulis

memcache.instances.update

Memcached Admin
Memcached Editor
Penulis

memcache.instances.delete

Memcached Admin Penulis

memcache.instances.applyParameters

Memcached Admin
Memcached Editor
Penulis

memcache.instances.updateParameters

Memcached Admin
Memcached Editor
Penulis

memcache.instances.applySoftwareUpdate

Memcached Admin
Memcached Editor
Penulis

memcache.instances.upgrade

Memcached Admin Penulis

memcache.locations.list

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.locations.get

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.operations.list

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.operations.get

Memcached Admin
Memcached Editor
Memcached Viewer
Pembaca

memcache.operations.delete

Memcached Admin
Memcached Editor
Penulis

Peran khusus

Jika peran bawaan tidak memenuhi persyaratan bisnis unik Anda, Anda dapat menentukan peran khusus Anda sendiri dengan izin yang Anda tentukan. Saat Anda membuat peran khusus untuk Memorystore untuk Memcached, pastikan Anda menyertakan resourcemanager.projects.get dan resourcemanager.projects.list. Untuk informasi selengkapnya, lihat Dependensi izin.

Izin yang diperlukan untuk tugas umum di konsol Google Cloud

Agar pengguna dapat menggunakan Memorystore untuk Memcached menggunakan konsol Google Cloud, peran pengguna harus menyertakan izin resourcemanager.projects.get dan resourcemanager.projects.list.

Tabel berikut memberikan izin lain yang diperlukan untuk beberapa tugas umum di konsol Google Cloud:

Tugas Izin tambahan yang diperlukan
Menampilkan halaman listingan instance

memcache.instances.get
memcache.instances.list

Membuat dan mengedit instance

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

Menghapus instance

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Menghubungkan ke instance dari Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Mengupgrade versi Memcached instance

memcache.instances.upgrade

Melihat informasi instance

memcache.instances.get
monitoring.timeSeries.list

Izin yang diperlukan untuk perintah gcloud

Agar pengguna dapat menggunakan Memorystore untuk Memcached menggunakan perintah gcloud, peran pengguna harus menyertakan izin resourcemanager.projects.get dan resourcemanager.projects.list.

Tabel berikut mencantumkan izin yang harus dimiliki pengguna yang memanggil perintah gcloud untuk setiap subperintah gcloud memcache:

Perintah Izin yang diperlukan
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances upgrade

memcache.instances.upgrade

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

Izin yang diperlukan untuk metode API

Tabel berikut berisi daftar izin yang harus dimiliki pengguna untuk memanggil setiap metode di Memorystore for Memcached API atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan API (seperti konsol Google Cloud atau alat command line gcloud):

Metode Izin yang diperlukan

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.upgrade

memcache.instances.upgrade

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Izin kebijakan pemeliharaan

Tabel di bawah menunjukkan izin yang diperlukan untuk mengelola Kebijakan pemeliharaan untuk Memorystore untuk Memcached.

Izin diperlukan Membuat instance Memorystore dengan kebijakan pemeliharaan diaktifkan Membuat atau mengubah kebijakan pemeliharaan pada instance Memorystore yang ada Melihat setelan kebijakan pemeliharaan Menjadwalkan ulang pemeliharaan
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

Langkah selanjutnya