Control de acceso y permisos

En esta página, se describe cómo puedes controlar el acceso al proyecto y los permisos de Memorystore para Memcached con Cloud Identity and Access Management (Cloud IAM).

Resumen

Cloud IAM te permite controlar el acceso a recursos específicos de Google Cloud en un nivel detallado y también evita el acceso no deseado a esos recursos. Para obtener una descripción detallada de las funciones y los permisos, consulta la documentación de Cloud IAM.

Memorystore para Memcached proporciona un conjunto de funciones predefinidas diseñadas con el fin de ayudarte a controlar fácilmente el acceso a tus recursos de Memcached. Si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas, también puedes crear funciones personalizadas. Además, las funciones básicas heredadas (editor, visualizador y propietario) aún están disponibles, aunque no proporcionan el mismo control detallado que las funciones de Memorystore para Memcached. Específicamente, las funciones básicas brindan acceso a los recursos en Google Cloud, en lugar de solo para Memorystore para Memcached. Para obtener más información sobre las funciones básicas, consulta las funciones básicas.

Permisos y funciones

En esta sección, se resumen los permisos y las funciones que admite Memorystore para Memcached.

Funciones predefinidas

Memorystore para Memcached proporciona funciones predefinidas que puedes usar para proporcionar permisos más específicos a los miembros del proyecto. La función que otorgas a un miembro del proyecto controla qué acciones puede realizar. Los miembros del proyecto pueden ser personas, grupos o cuentas de servicios.

Los propietarios del proyecto pueden otorgar varias funciones al mismo miembro del proyecto y cambiarlas en cualquier momento.

Las funciones más amplias se definen con más precisión. Por ejemplo, la función de Editor de Memcached incluye todos los permisos de la función de Visualizador de Memcached, además de los permisos para la función Editor de Memcached. Del mismo modo, la función de administrador de Memcached incluye todos los permisos de la función de Editor de Memcached, junto con sus permisos adicionales.

Las funciones básicas (propietario, editor y visualizador) proporcionan permisos en Google Cloud. Las funciones específicas de Memorystore para Memcached solo proporcionan permisos de Memorystore para Memcached, excepto los siguientes permisos de Google Cloud, que son necesarios para el uso general de Google Cloud:

resourcemanager.projects.get
resourcemanager.projects.list

En la siguiente tabla, se describen las funciones predefinidas disponibles para Memorystore para Memcached, junto con sus permisos de Memorystore para Memcached:

Función Name Permisos de Memcached Descripción

roles/owner

Owner

memcache.*

Acceso y control totales para todos los recursos de Google Cloud; administración del acceso de los usuarios

roles/editor

Editor Todos los permisos de memcache , excepto *.getIamPolicy y .setIamPolicy Acceso de lectura/escritura a todos los recursos de Google Cloud y Memcached (control total, excepto la capacidad de modificar permisos)

roles/viewer

Lector

memcache.*.get memcache.*.list

Acceso de solo lectura a todos los recursos de Google Cloud, incluidos los recursos de Memcache

roles/memcache.admin

Administrador de Memcached

memcache.*

Control total de todos los recursos de Memorystore para Memcached.

roles/memcache.editor

Editor de Memcached Todos los permisos de memcache, excepto

memcache.instances.create memcache.instances.delete

Administra Memorystore para instancias de Memcached No se pueden crear ni borrar instancias.

roles/memcache.viewer

Lector de Memcached Todos los permisos de memcache, excepto

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters

Acceso de solo lectura a todos los recursos de Memorystore para Memcached.

Permisos y sus funciones

En la tabla siguiente, se enumeran los permisos que admite Memorystore para Memcached y las funciones de Memorystore para Memcached que lo incluyen:

Permiso Función de Memcached Función heredada

memcache.instances.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.instances.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.instances.create

Administrador de Memcached Writer

memcache.instances.update

Administrador de Memcached
Editor de Memcached
Writer

memcache.instances.delete

Administrador de Memcached Writer

memcache.instances.applyParameters

Administrador de Memcached
Editor de Memcached
Writer

memcache.instances.updateParameters

Administrador de Memcached
Editor de Memcached
Writer

memcache.locations.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.locations.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.list

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.get

Administrador de Memcached
Editor de Memcached
Visualizador de Memcached
Lector

memcache.operations.delete

Administrador de Memcached
Editor de Memcached
Writer

Funciones personalizadas

Si las funciones predefinidas no responden a tus requisitos comerciales particulares, puedes definir tus propias funciones personalizadas con los permisos que especifiques. Cuando crees funciones personalizadas para Memorystore para Memcached, asegúrate de incluir resourcemanager.projects.get y resourcemanager.projects.list. Para obtener más información, consulta las dependencias de permisos.

Permisos necesarios para realizar tareas comunes en Cloud Console

Con el fin de permitir que un usuario trabaje con Memorystore para Memcached con Cloud Console, la función del usuario debe incluir el permiso resourcemanager.projects.get y resourcemanager.projects.list.

En la tabla siguiente, se proporcionan los otros permisos necesarios para algunas tareas comunes en Cloud Console:

Tarea Permisos adicionales obligatorios
Mostrar la página de listas de instancias

memcache.instances.get
memcache.instances.list

Crear y editar una instancia

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
compute.networks.list

Borrar una instancia

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Conectar una instancia desde Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Ver información de instancias

memcache.instances.get
monitoring.timeSeries.list

Permisos obligatorios para los comandos de gcloud

Para permitir que un usuario trabaje con Memorystore para Memcached mediante los comandos de gcloud, la función del usuario debe incluir los permisos resourcemanager.projects.get y resourcemanager.projects.list.

En la siguiente tabla, se enumeran los permisos que debe tener el usuario que invoca un comando de gcloud para cada subcomando gcloud beta memcache:

Comando Permisos necesarios
gcloud beta memcache instances create

memcache.instances.get
memcache.instances.create

gcloud beta memcache instances delete

memcache.instances.delete

gcloud beta memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud beta memcache instances list

memcache.instances.list

gcloud beta memcache instances describe

memcache.instances.get

gcloud beta memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache operations list

memcache.operations.list

gcloud beta memcache operations describe

memcache.operations.get

gcloud beta memcache regions list

memcache.locations.list

gcloud beta memcache regions describe

memcache.locations.get

gcloud beta memcache zones list

memcache.locations.list

Permisos obligatorios para los métodos de API

En la siguiente tabla, se enumeran los permisos que el usuario debe tener para llamar a cada método en la API de Memorystore para Memcached o para realizar tareas con las herramientas de Google Cloud que usan la API (como Cloud Console o la herramienta de línea de comandos de gcloud):

Método Permisos necesarios

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Qué sigue