Zugriffssteuerung mit IAM

Auf dieser Seite wird beschrieben, wie Sie den Projektzugriff und Berechtigungen für Memorystore for Memcached mit Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) steuern können.

Überblick

Mit IAM können Sie den Zugriff auf bestimmte Google Cloud-Ressourcen detailliert steuern und unerwünschten Zugriff auf diese Ressourcen verhindern. Eine ausführliche Beschreibung der Rollen und Berechtigungen finden Sie in der IAM-Dokumentation.

Memorystore for Memcached bietet eine Reihe vordefinierter Rollen, mit denen Sie den Zugriff auf Ihre Memcached-Ressourcen einfach steuern können. Wenn die vordefinierten Rollen nicht die erforderlichen Berechtigungen bieten, können Sie auch benutzerdefinierte Rollen erstellen. Darüber hinaus stehen Ihnen weiterhin die älteren einfachen Rollen (Bearbeiter, Betrachter und Inhaber) zur Verfügung, auch wenn diese nicht die gleiche Feinsteuerung wie die Memorystore for Memcached-Rollen bieten. Insbesondere ermöglichen die einfachen Rollen Zugriff auf Ressourcen in Google Cloud insgesamt und nicht nur für Memorystore for Memcached. Weitere Informationen zu einfachen Rollen finden Sie unter Einfache Rollen.

Berechtigungen und Rollen

In diesem Abschnitt werden die Berechtigungen und Rollen zusammengefasst, die Memorystore for Memcached unterstützt.

Vordefinierte Rollen

Memorystore for Memcached bietet vordefinierte Rollen, mit denen Sie detailliertere Berechtigungen für Hauptkonten bereitstellen können. Die Rolle, die Sie einem Hauptkonto zuweisen, legt fest, welche Aktionen mit dem Hauptkonto ausgeführt werden können. Hauptkonten können Einzelpersonen, Gruppen oder Dienstkonten sein.

Sie können demselben Hauptkonto mehrere Rollen zuweisen und die Rollen jederzeit ändern.

Umfassendere Rollen sind enger definiert. Die Rolle "Memcached-Bearbeiter" enthält beispielsweise alle Berechtigungen der Rolle "Memcached-Betrachter" sowie die Berechtigungen der Memcached-Bearbeiterrolle. Die Memcached-Administratorrolle umfasst außerdem alle Berechtigungen der Rolle "Memcached-Bearbeiter" sowie dessen zusätzliche Berechtigungen.

Die einfachen Rollen (Inhaber, Bearbeiter, Betrachter) stellen Berechtigungen für Google Cloud bereit. Die Rollen für Memorystore for Memcached bieten nur Memorystore for Memcached-Berechtigungen, mit Ausnahme der folgenden Google Cloud-Berechtigungen, die für die allgemeine Nutzung von Google Cloud erforderlich sind:

resourcemanager.projects.get
resourcemanager.projects.list

In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die für Memorystore for Memcached verfügbar sind, zusammen mit ihren Memorystore for Memcached-Berechtigungen:

Rolle Name Memcached-Berechtigungen Beschreibung

roles/owner

Owner

memcache.*

Uneingeschränkter Zugriff auf und Kontrolle über alle Google Cloud-Ressourcen; Verwaltung des Nutzerzugriffs

roles/editor

Editor Alle memcache -Berechtigungen, außer für *.getIamPolicy .setIamPolicy Lese- und Schreibzugriff auf alle Google Cloud- und Memcached-Ressourcen (vollständige Kontrolle mit Ausnahme der Möglichkeit, Berechtigungen zu ändern)

roles/viewer

Betrachter

memcache.*.get memcache.*.list

Schreibgeschützter Zugriff auf alle Google Cloud-Ressourcen, einschließlich Memcached-Ressourcen

roles/memcache.admin

Memcached-Administrator

memcache.*

Uneingeschränkte Kontrolle über alle Memorystore for Memcached-Ressourcen.

roles/memcache.editor

Memcached-Bitbearbeiter Alle memcache-Berechtigungen außer

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Memorystore for Memcached-Instanzen verwalten. Kann keine Instanzen erstellen oder löschen.

roles/memcache.viewer

Memcached-Betrachter Alle memcache-Berechtigungen außer

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Lesezugriff auf alle Memorystore for Memcached-Ressourcen.

Berechtigungen und ihre Rollen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die Memorystore for Memcached unterstützt, sowie die zugehörigen Memorystore for Memcached-Rollen:

Permission Memcached-Rolle Einfache Rolle

memcache.instances.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.instances.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.instances.create

Memcached-Administrator Autor

memcache.instances.update

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.instances.delete

Memcached-Administrator Autor

memcache.instances.applyParameters

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.instances.updateParameters

Memcached-Administrator
Memcached-Bearbeiter
Autor

memcache.instances.applySoftwareUpdate

Memcached-Administrator
Memcached-Bearbeiter
Writer

memcache.instances.upgrade

Memcached-Administrator Writer

memcache.locations.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.locations.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.list

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.get

Memcached-Administrator
Memcached-Bearbeiter
Memcached-Betrachter
Leser

memcache.operations.delete

Memcached-Administrator
Memcached-Bearbeiter
Autor

Benutzerdefinierte Rollen

Wenn die vordefinierten Rollen Ihren speziellen Geschäftsanforderungen nicht gerecht werden, können Sie eigene benutzerdefinierte Rollen definieren. Dabei lassen sich die gewünschten Berechtigungen festlegen. Achten Sie beim Erstellen benutzerdefinierter Rollen für Memorystore for Memcached darauf, dass Sie auch resourcemanager.projects.get und resourcemanager.projects.list angeben. Weitere Informationen finden Sie unter Berechtigungsabhängigkeiten.

Erforderliche Berechtigungen für allgemeine Aufgaben in der Google Cloud Console

Damit ein Nutzer über die Google Cloud Console mit Memorystore for Memcached arbeiten kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list enthalten.

Die folgende Tabelle enthält weitere Berechtigungen, die für einige allgemeine Aufgaben in der Google Cloud Console erforderlich sind:

Task Zusätzliche erforderliche Berechtigungen
Seite mit der Instanzliste anzeigen

memcache.instances.get
memcache.instances.list

Instanz erstellen und bearbeiten

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

Instanz löschen

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Verbindung zu einer Instanz aus der Cloud Shell herstellen

memcache.instances.get
memcache.instances.list
memcache.instances.update

Upgrade der Memcached-Version einer Instanz durchführen

memcache.instances.upgrade

Instanzinformationen aufrufen

memcache.instances.get
monitoring.timeSeries.list

Erforderliche Berechtigungen für gcloud-Befehle

Damit ein Nutzer Memorystore for Memcached mit gcloud-Befehlen verwenden kann, muss die Rolle des Nutzers die Berechtigungen resourcemanager.projects.get und resourcemanager.projects.list enthalten.

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer, der einen gcloud-Befehl aufruft, für jeden Unterbefehl gcloud memcache haben muss:

Befehl Erforderliche Berechtigungen
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances upgrade

memcache.instances.upgrade

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

Erforderliche Berechtigungen für API-Methoden

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Nutzer haben muss, um die einzelnen Methoden in der Memorystore for Memcached API aufzurufen oder Aufgaben mit Google Cloud-Tools auszuführen, die die API verwenden (z. B. die Google Cloud Console oder das gcloud-Befehlszeilentool):

Methode Erforderliche Berechtigungen

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.upgrade

memcache.instances.upgrade

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Berechtigungen für Wartungsrichtlinien

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die zum Verwalten der Wartungsrichtlinie für Memorystore for Memcached erforderlich sind.

Berechtigungen erforderlich Memorystore-Instanz mit aktivierter Wartungsrichtlinie erstellen Wartungsrichtlinien für eine vorhandene Memorystore-Instanz erstellen oder ändern Einstellungen für Wartungsrichtlinien aufrufen Wartung verschieben
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

Nächste Schritte