Control de acceso con IAM

En esta página, se describe cómo puedes controlar el acceso al proyecto y los permisos de Memorystore para Memcached mediante la administración de identidades y accesos (IAM).

Descripción general

Cloud IAM te permite controlar el acceso a recursos específicos de Google Cloud en un nivel detallado y también evita el acceso no deseado a esos recursos. Para obtener una descripción detallada de las funciones y los permisos, consulta la documentación de Cloud IAM.

Memorystore para Memcached proporciona un conjunto de funciones predefinidas diseñadas con el fin de ayudarte a controlar con facilidad el acceso a tus recursos de Memcached. Si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas, también puedes funciones personalizadas. Además, las funciones básicas más antiguas (editor, visualizador y propietario) aún están disponibles, aunque no proporcionan el mismo control detallado que las funciones de Memorystore para Memcached. Específicamente, las funciones básicas proporcionan acceso a los recursos en Google Cloud, en lugar de solo para Memorystore para Memcached. Para obtener más información sobre las funciones básicas, consulta Funciones básicas.

Permisos y funciones

En esta sección, se resumen los permisos y las funciones que admite Memorystore para Memcached.

Funciones predefinidas

Memorystore para Memcached proporciona funciones predefinidas que puedes usar para proporcionar permisos más detallados a las principales. La función que otorgas a una principal controla las acciones que puede realizar. Los principales pueden ser personas, grupos o cuentas de servicios.

Puedes otorgar varias funciones a la misma principal y cambiarlas en cualquier momento.

Las funciones más amplias se definen con más precisión. Por ejemplo, la función de editor de Memcached incluye todos los permisos de la función de visualizador de Memcached, además de los permisos para la función editor de Memcached. Del mismo modo, la función Administrador de Redis incluye todos los permisos de la función editor de Redis, junto con sus permisos adicionales.

Las funciones básicas (Propietario, Editor y Visualizador) proporcionan permisos en Google Cloud. Las funciones específicas de Memorystore para Memcached solo proporcionan permisos de Memorystore para Memcached, excepto los siguientes permisos de Google Cloud, que son necesarios para el uso general de Google Cloud:

resourcemanager.projects.get
resourcemanager.projects.list

En la siguiente tabla, se describen las funciones predefinidas disponibles para Memorystore para Memcached, junto con sus permisos de Memorystore para Memcached:

Rol Nombre Permisos de Memcached Descripción

roles/owner

Propietario

memcache.*

Acceso y control totales para todos los recursos de Google Cloud; administración del acceso de los usuarios

roles/editor

Editor Todos los permisos de memcache , excepto *.getIamPolicy y .setIamPolicy Acceso de lectura/escritura a todos los recursos de Google Cloud y Memcached (control total, excepto la capacidad de modificar permisos)

roles/viewer

Visualizador

memcache.*.get memcache.*.list

Acceso de solo lectura a todos los recursos de Google Cloud, incluidos los recursos de Memcache

roles/memcache.admin

Administrador de Memcached

memcache.*

Control total de todos los recursos de Memorystore para Memcached.

roles/memcache.editor

Editor de Memcached Todos los permisos de memcache, excepto

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate

Administra Memorystore para instancias de Memcached No se pueden crear ni borrar instancias.

roles/memcache.viewer

Lector de Memcached Todos los permisos de memcache, excepto

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate

Acceso de solo lectura a todos los recursos de Memorystore para Memcached.

Permisos y sus funciones

En la tabla siguiente, se enumeran los permisos que admite Memorystore para Memcached y las funciones de Memorystore para Memcached que lo incluyen:

Permiso Función de Memcached Función básica

memcache.instances.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.instances.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.instances.create

Administrador de Memcached Writer

memcache.instances.update

Administrador de Memcached
Editor de Memcached
Writer

memcache.instances.delete

Administrador de Memcached Writer

memcache.instances.applyParameters

Administrador de Memcached
Editor de Memcached
Writer

memcache.instances.updateParameters

Administrador de Memcached
Editor de Memcached
Writer

memcache.instances.applySoftwareUpdate

Administrador de Memcached
Editor de Memcached
Writer

memcache.locations.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.locations.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.delete

Administrador de Memcached
Editor de Memcached
Writer

Funciones personalizadas

Si las funciones predefinidas no responden a tus requisitos comerciales particulares, puedes definir tus propias funciones personalizadas con los permisos que especifiques. Cuando crees funciones personalizadas de Memorystore para Memcached, asegúrate de incluir resourcemanager.projects.get y resourcemanager.projects.list. Para obtener más información, consulta Dependencias de permisos.

Permisos obligatorios para tareas comunes en la consola

Para permitir que un usuario trabaje con Memorystore para Memcached mediante la consola, la función del usuario debe incluir los permisos resourcemanager.projects.get y resourcemanager.projects.list.

En la siguiente tabla, se proporcionan los otros permisos necesarios para algunas tareas comunes en la consola:

Tarea Permisos adicionales obligatorios
Mostrar la página de listas de instancias

memcache.instances.get
memcache.instances.list

Crear y editar una instancia

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

Borrar una instancia

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Conectar una instancia desde Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Ver información de instancias

memcache.instances.get
monitoring.timeSeries.list

Permisos obligatorios para los comandos de gcloud

Para permitir que un usuario trabaje con Memorystore para Memcached mediante los comandos de gcloud, la función del usuario debe incluir los permisos resourcemanager.projects.get y resourcemanager.projects.list.

En la siguiente tabla, se enumeran los permisos que debe tener el usuario que invoca un comando de gcloud para cada subcomando gcloud memcache:

Comando Permisos necesarios
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

Permisos obligatorios para los métodos de API

En la siguiente tabla, se enumeran los permisos que el usuario debe tener para llamar a cada método en la API de Memorystore para Memcached o realizar tareas con las herramientas de Google Cloud que usan la API (como la consola o la herramienta de línea de comandos de gcloud):

Método Permisos necesarios

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Permisos de la política de mantenimiento

En la siguiente tabla, se muestran los permisos necesarios para administrar la política de mantenimiento de Memorystore para Memcached.

Se necesitan permisos Crea una instancia de Memorystore con una política de mantenimiento habilitada Crear o modificar políticas de mantenimiento en una instancia de Memorystore existente Visualiza la configuración de la política de mantenimiento Reprograma el mantenimiento
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

¿Qué sigue?