Zugriffssteuerung und -berechtigungen

Auf dieser Seite wird beschrieben, wie Sie den Projektzugriff und Berechtigungen für Memorystore for Memcached mit Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) steuern können.

Überblick

Mit IAM können Sie den Zugriff auf bestimmte Google Cloud-Ressourcen detailliert steuern und unerwünschten Zugriff auf diese Ressourcen verhindern. Eine ausführliche Beschreibung der Rollen und Berechtigungen finden Sie in der IAM-Dokumentation.

Memorystore for Memcached bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Memcached-Ressourcen einfach steuern können. Wenn die vordefinierten Rollen nicht die erforderlichen Berechtigungen bieten, können Sie auch benutzerdefinierte Rollen erstellen. Darüber hinaus stehen Ihnen weiterhin die einfachen Legacy-Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, auch wenn diese nicht die gleiche Feinsteuerung wie die Memorystore for Memcached-Rollen bieten. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Memorystore for Memcached. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen.

Berechtigungen und Rollen

In diesem Abschnitt werden die Berechtigungen und Rollen zusammengefasst, die Memorystore for Memcached unterstützt.

Vordefinierte Rollen

Memorystore for Memcached bietet vordefinierte Rollen, mit denen Sie detaillierte Berechtigungen für Projektmitglieder bereitstellen können. Die einem Projektmitglied zugewiesene Rolle bestimmt die Aktionen, die vom jeweiligen Mitglied vorgenommen werden können. Projektmitglieder können Einzelpersonen, Gruppen oder Dienstkonten sein.

Projektinhaber können demselben Projektmitglied mehrere Rollen zuweisen und die Rollen jederzeit ändern.

Umfassendere Rollen sind enger definiert. Die Rolle "Memcached-Bearbeiter" enthält beispielsweise alle Berechtigungen der Rolle "Memcached-Betrachter" sowie die Berechtigungen der Memcached-Bearbeiterrolle. Die Memcached-Administratorrolle umfasst außerdem alle Berechtigungen der Rolle "Memcached-Bearbeiter" sowie dessen zusätzliche Berechtigungen.

Die einfachen Rollen (Inhaber, Bearbeiter, Betrachter) stellen Berechtigungen für Google Cloud bereit. Die Rollen für Memorystore for Memcached bieten nur Memorystore for Memcached-Berechtigungen, mit Ausnahme der folgenden Google Cloud-Berechtigungen, die für die allgemeine Nutzung von Google Cloud erforderlich sind:

resourcemanager.projects.get
resourcemanager.projects.list

In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die für Memorystore for Memcached verfügbar sind, zusammen mit ihren Memorystore for Memcached-Berechtigungen:

Role Name Memcached-Berechtigungen Beschreibung

roles/owner

Inhaber

memcache.*

Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs

roles/editor

Editor Alle memcache -Berechtigungen, außer für *.getIamPolicy .setIamPolicy Lese- und Schreibzugriff auf alle Google Cloud- und Memcached-Ressourcen (vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern)

roles/viewer

Betrachter

memcache.*.get memcache.*.list

Schreibgeschützter Zugriff auf alle Google Cloud-Ressourcen, einschließlich Memcached-Ressourcen

roles/memcache.admin

Memcached-Administrator

memcache.*

Uneingeschränkte Kontrolle über alle Memorystore for Memcached-Ressourcen.

roles/memcache.editor

Memcached-Bitbearbeiter Alle memcache-Berechtigungen außer

memcache.instances.create memcache.instances.delete

Memorystore for Memcached-Instanzen verwalten. Kann keine Instanzen erstellen oder löschen.

roles/memcache.viewer

Memcached-Betrachter Alle memcache-Berechtigungen außer

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters

Lesezugriff auf alle Memorystore for Memcached-Ressourcen.

Berechtigungen und ihre Rollen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Memorystore for Memcached unterstützt, sowie die zugehörigen Memorystore for Memcached-Rollen:

Permission Memcached-Rolle Alte Rolle

memcache.instances.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.instances.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.instances.create

Memcached-Administrator Autor

memcache.instances.update

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.instances.delete

Memcached-Administrator Autor

memcache.instances.applyParameters

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.instances.updateParameters

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.locations.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.locations.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.delete

Memcached-Administrator
Memcached-Bearbeiter
Autor

Benutzerdefinierte Rollen

Wenn die vordefinierten Rollen Ihren speziellen Geschäftsanforderungen nicht gerecht werden, können Sie eigene benutzerdefinierte Rollen definieren. Dabei lassen sich die gewünschten Berechtigungen festlegen. Achten Sie beim Erstellen benutzerdefinierter Rollen für Memorystore for Memcached darauf, dass Sie auch resourcemanager.projects.get und resourcemanager.projects.list angeben. Weitere Informationen finden Sie unter Berechtigungsabhängigkeiten.

Erforderliche Berechtigungen für allgemeine Aufgaben in der Cloud Console

Damit ein Nutzer Cloud Memorystore for Memcached mithilfe der Cloud Console nutzen kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list umfassen.

Die folgende Tabelle enthält die weiteren Berechtigungen, die für einige häufige Aufgaben in der Cloud Console erforderlich sind:

Aufgabe Zusätzliche erforderliche Berechtigungen
Seite mit der Instanzliste anzeigen

memcache.instances.get
memcache.instances.list

Instanz erstellen und bearbeiten

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
compute.networks.list

Instanz löschen

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Verbindung zu einer Instanz aus der Cloud Shell herstellen

memcache.instances.get
memcache.instances.list
memcache.instances.update

Instanzinformationen aufrufen

memcache.instances.get
monitoring.timeSeries.list

Erforderliche Berechtigungen für gcloud-Befehle

Damit ein Nutzer Memorystore for Memcached mit gcloud-Befehlen verwenden kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list enthalten.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer, der einen gcloud-Befehl aufruft, für jeden Unterbefehl gcloud beta memcache haben muss:

Befehl Erforderliche Berechtigungen
gcloud beta memcache instances create

memcache.instances.get
memcache.instances.create

gcloud beta memcache instances delete

memcache.instances.delete

gcloud beta memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud beta memcache instances list

memcache.instances.list

gcloud beta memcache instances describe

memcache.instances.get

gcloud beta memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache operations list

memcache.operations.list

gcloud beta memcache operations describe

memcache.operations.get

gcloud beta memcache regions list

memcache.locations.list

gcloud beta memcache regions describe

memcache.locations.get

gcloud beta memcache zones list

memcache.locations.list

Erforderliche Berechtigungen für API-Methoden

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer zum Aufrufen der einzelnen Methoden in der Memorystore for Memcached API oder zum Ausführen von Aufgaben mit Google Cloud-Tools, die die API verwenden, haben muss (z. B. die Cloud Console oder das gcloud-Befehlszeilentool):

Method Erforderliche Berechtigungen

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Nächste Schritte