Contrôle des accès et autorisations

Cette page explique comment contrôler l'accès aux projets et les autorisations pour Memorystore pour Memcached à l'aide de la gestion de l'authentification et des accès (IAM).

Aperçu

IAM vous permet de contrôler l'accès à certaines ressources Google Cloud de manière précise et empêche tout accès non souhaité à ces ressources. Pour une description détaillée des rôles et des autorisations, consultez la documentation IAM.

Memorystore pour Memcached fournit un ensemble de rôles prédéfinis conçus pour vous aider à contrôler facilement l'accès à vos ressources Memcached. Si les rôles prédéfinis ne fournissent pas les ensembles d'autorisations dont vous avez besoin, vous pouvez également créer des rôles personnalisés. Les anciens rôles de base (éditeur, lecteur et propriétaire) restent disponibles, même s'ils ne permettent pas un contrôle aussi précis que les rôles Memorystore pour Memcached. Plus précisément, les rôles de base fournissent un accès aux ressources sur Google Cloud, et pas seulement pour Memorystore pour Memcached. Pour en savoir plus sur les rôles de base, consultez la section Rôles de base.

Autorisations et rôles

Cette section récapitule les autorisations et les rôles associés à Memorystore pour Memcached.

Rôles prédéfinis

Memorystore pour Memcached fournit des rôles prédéfinis que vous pouvez utiliser pour fournir des autorisations plus précises aux membres du projet. Le rôle que vous attribuez à ces membres définit les actions qu'ils peuvent entreprendre. Ces derniers peuvent être des individus, des groupes ou des comptes de service.

Les propriétaires de projet peuvent attribuer plusieurs rôles au même membre du projet et les modifier à tout moment.

Les rôles plus larges sont définis plus précisément. Par exemple, le rôle Éditeur Memcached inclut toutes les autorisations du rôle Lecteur Memcached, ainsi que les autorisations du rôle Éditeur Memcached. De même, le rôle Administrateur Memcached inclut toutes les autorisations du rôle Éditeur Memcached, ainsi que ses autorisations supplémentaires.

Les rôles de base (propriétaire, éditeur, lecteur) fournissent des autorisations pour l'ensemble des services Google Cloud. Les rôles propres à Memorystore pour Memcached n'incluent que des autorisations Memorystore pour Memcached, à l'exception des autorisations Google Cloud suivantes, nécessaires pour l'utilisation générale de Google Cloud :

resourcemanager.projects.get
resourcemanager.projects.list

Le tableau suivant répertorie les rôles prédéfinis disponibles pour Memorystore pour Memcached, ainsi que leurs autorisations Memorystore pour Memcached :

Rôle Nom Autorisations Memcached Description

roles/owner

Propriétaire

memcache.*

Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs

roles/editor

Éditeur Toutes les autorisations memcache , à l'exception de *.getIamPolicy et .setIamPolicy Accès en lecture/écriture à toutes les ressources Google Cloud et Memcached (contrôle total, hormis la possibilité de modifier les autorisations).

roles/viewer

Lecteur

memcache.*.get memcache.*.list

Accès en lecture seule à toutes les ressources Google Cloud, y compris les ressources Memcached

roles/memcache.admin

Administrateur Memcached

memcache.*

Contrôle total sur toutes les ressources Memorystore pour Memcached

roles/memcache.editor

Éditeur Memcached Toutes les autorisations memcache, à l'exception de

memcache.instances.create memcache.instances.delete

Gérer les instances Memorystore pour Memcached. création ou suppression d'instances impossible

roles/memcache.viewer

Lecteur Memcached Toutes les autorisations memcache, à l'exception de

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters

Accès en lecture seule à toutes les ressources Memorystore pour Memcached.

Autorisations et rôles associés

Le tableau suivant répertorie les autorisations compatibles avec Memorystore pour Memcached, ainsi que les rôles Memorystore pour Memcached qui les incluent :

Permission Rôle Memcached Rôle de base

memcache.instances.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.instances.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.instances.create

Administrateur Memcached Auteur

memcache.instances.update

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.instances.delete

Administrateur Memcached Auteur

memcache.instances.applyParameters

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.instances.updateParameters

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.locations.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.locations.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.delete

Administrateur Memcached
Éditeur Memcached
Auteur

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Lorsque vous créez des rôles personnalisés pour Memorystore pour Memcached, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list. Pour en savoir plus, consultez la section Dépendances d'autorisation.

Autorisations requises pour effectuer des tâches courantes dans Cloud Console

Pour permettre à un utilisateur de travailler avec Memorystore pour Memcached à l'aide de Cloud Console, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.

Le tableau suivant indique les autres autorisations requises pour certaines tâches courantes dans Cloud Console :

Tâche Autorisations supplémentaires requises
Afficher la page contenant la liste des instances

memcache.instances.get
memcache.instances.list

Créer et modifier une instance

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
compute.networks.list

Supprimer une instance

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Se connecter à une instance à partir de Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Afficher les informations sur les instances

memcache.instances.get
monitoring.timeSeries.list

Autorisations requises pour les commandes gcloud

Pour permettre à un utilisateur de travailler avec Memorystore pour Memcached à l'aide des commandes gcloud, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.

Le tableau suivant répertorie les autorisations dont l'utilisateur appelant une commande gcloud doit disposer pour chaque sous-commande gcloud beta memcache :

Command Autorisations requises
gcloud beta memcache instances create

memcache.instances.get
memcache.instances.create

gcloud beta memcache instances delete

memcache.instances.delete

gcloud beta memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud beta memcache instances list

memcache.instances.list

gcloud beta memcache instances describe

memcache.instances.get

gcloud beta memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache operations list

memcache.operations.list

gcloud beta memcache operations describe

memcache.operations.get

gcloud beta memcache regions list

memcache.locations.list

gcloud beta memcache regions describe

memcache.locations.get

gcloud beta memcache zones list

memcache.locations.list

Autorisations requises pour les méthodes API

Le tableau suivant répertorie les autorisations dont l'utilisateur doit disposer pour appeler chaque méthode dans l'API Memorystore pour Memcached ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (tels que Cloud Console ou l'outil de ligne de commande gcloud) :

Method Autorisations requises

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Étape suivante