Contrôle des accès avec IAM

Cette page explique comment contrôler l'accès aux projets et les autorisations pour Memorystore pour Memcached à l'aide de la gestion de l'authentification et des accès (IAM).

Présentation

IAM vous permet de contrôler l'accès à certaines ressources Google Cloud de manière précise et empêche tout accès non souhaité à ces ressources. Pour une description détaillée des rôles et des autorisations, consultez la documentation IAM.

Memorystore pour Memcached fournit un ensemble de rôles prédéfinis conçus pour vous aider à contrôler facilement l'accès à vos ressources Memcached. Si les rôles prédéfinis ne fournissent pas les ensembles d'autorisations dont vous avez besoin, vous pouvez également créer des rôles personnalisés. Les anciens rôles de base (éditeur, lecteur et propriétaire) restent disponibles, même s'ils ne permettent pas un contrôle aussi précis que les rôles Memorystore pour Memcached. Plus précisément, les rôles de base fournissent un accès aux ressources sur Google Cloud, et pas seulement pour Memorystore pour Memcached. Pour en savoir plus sur les rôles de base, consultez la section Rôles de base.

Autorisations et rôles

Cette section récapitule les autorisations et les rôles associés à Memorystore pour Memcached.

Rôles prédéfinis

Memorystore pour Memcached fournit des rôles prédéfinis que vous pouvez utiliser pour fournir des autorisations plus précises aux entités principales. Le rôle que vous attribuez à une entité principale définit les actions qu'elle peut entreprendre. Les entités principales peuvent être des individus, des groupes ou des comptes de service.

Vous pouvez attribuer plusieurs rôles à la même entité principale et les modifier à tout moment.

Les rôles plus larges sont définis plus précisément. Par exemple, le rôle Éditeur Memcached inclut toutes les autorisations du rôle Lecteur Memcached, ainsi que les autorisations du rôle Éditeur Memcached. De même, le rôle Administrateur Memcached inclut toutes les autorisations du rôle Éditeur Memcached, ainsi que ses autorisations supplémentaires.

Les rôles de base (propriétaire, éditeur, lecteur) fournissent des autorisations pour l'ensemble des services Google Cloud. Les rôles propres à Memorystore pour Memcached n'incluent que des autorisations Memorystore pour Memcached, à l'exception des autorisations Google Cloud suivantes, nécessaires pour l'utilisation générale de Google Cloud :

resourcemanager.projects.get
resourcemanager.projects.list

Le tableau suivant répertorie les rôles prédéfinis disponibles pour Memorystore pour Memcached, ainsi que leurs autorisations Memorystore pour Memcached :

Rôle Nom Autorisations Memcached Description

roles/owner

Propriétaire

memcache.*

Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs

roles/editor

Éditeur Toutes les autorisations memcache , à l'exception de *.getIamPolicy et .setIamPolicy Accès en lecture/écriture à toutes les ressources Google Cloud et Memcached (contrôle total, hormis la possibilité de modifier les autorisations).

roles/viewer

Lecteur

memcache.*.get memcache.*.list

Accès en lecture seule à toutes les ressources Google Cloud, y compris les ressources Memcached

roles/memcache.admin

Administrateur Memcached

memcache.*

Contrôle total sur toutes les ressources Memorystore pour Memcached

roles/memcache.editor

Éditeur Memcached Toutes les autorisations memcache, sauf

memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Gérer les instances Memorystore pour Memcached. création ou suppression d'instances impossible

roles/memcache.viewer

Lecteur Memcached Toutes les autorisations memcache, sauf

memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade

Accès en lecture seule à toutes les ressources Memorystore pour Memcached.

Autorisations et rôles associés

Le tableau suivant répertorie les autorisations compatibles avec Memorystore pour Memcached, ainsi que les rôles Memorystore pour Memcached qui les incluent :

Permission Rôle Memcached Rôle de base

memcache.instances.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.instances.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.instances.create

Administrateur Memcached Auteur

memcache.instances.update

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.instances.delete

Administrateur Memcached Auteur

memcache.instances.applyParameters

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.instances.updateParameters

Administrateur Memcached
Éditeur Memcached
Auteur

memcache.instances.applySoftwareUpdate

Administrateur Memcached
Éditeur Memcached
Rédacteur

memcache.instances.upgrade

Administrateur Memcached Rédacteur

memcache.locations.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.locations.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.list

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.get

Administrateur Memcached
Éditeur Memcached
Lecteur Memcached
Reader

memcache.operations.delete

Administrateur Memcached
Éditeur Memcached
Auteur

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Lorsque vous créez des rôles personnalisés pour Memorystore pour Memcached, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list. Pour en savoir plus, consultez la section Dépendances d'autorisation.

Autorisations requises pour effectuer des tâches courantes dans la console Google Cloud

Pour qu'un utilisateur puisse utiliser Memorystore pour Memcached à l'aide de la console Google Cloud, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.

Le tableau suivant fournit les autres autorisations requises pour certaines tâches courantes dans la console Google Cloud:

Tâche Autorisations supplémentaires requises
Afficher la page contenant la liste des instances

memcache.instances.get
memcache.instances.list

Créer et modifier une instance

memcache.instances.create
memcache.instances.get
memcache.instances.list
memcache.instances.update
memcache.instances.applyParameters
memcache.instances.updateParameters
memcache.instances.applySoftwareUpdate
compute.networks.list

Supprimer une instance

memcache.instances.delete
memcache.instances.get
memcache.instances.list

Se connecter à une instance à partir de Cloud Shell

memcache.instances.get
memcache.instances.list
memcache.instances.update

Mettre à niveau la version Memcached d'une instance

memcache.instances.upgrade

Afficher les informations sur les instances

memcache.instances.get
monitoring.timeSeries.list

Autorisations requises pour les commandes gcloud

Pour permettre à un utilisateur de travailler avec Memorystore pour Memcached à l'aide des commandes gcloud, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.

Le tableau suivant répertorie les autorisations dont l'utilisateur appelant une commande gcloud doit disposer pour chaque sous-commande gcloud memcache :

Command Autorisations requises
gcloud memcache instances create

memcache.instances.get
memcache.instances.create

gcloud memcache instances delete

memcache.instances.delete

gcloud memcache instances update

memcache.instances.get
memcache.instances.update
memcache.instances.updateParameters

gcloud memcache instances upgrade

memcache.instances.upgrade

gcloud memcache instances list

memcache.instances.list

gcloud memcache instances describe

memcache.instances.get

gcloud memcache instances apply-parameters

memcache.instances.applyParameters

gcloud beta memcache instances apply-software-update

memcache.instances.applySoftwareUpdate

gcloud memcache operations list

memcache.operations.list

gcloud memcache operations describe

memcache.operations.get

gcloud memcache regions list

memcache.locations.list

gcloud memcache regions describe

memcache.locations.get

gcloud memcache zones list

memcache.locations.list

Autorisations requises pour les méthodes API

Le tableau suivant répertorie les autorisations dont l'utilisateur doit disposer pour appeler chaque méthode dans l'API Memorystore pour Memcached ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (tels que la console Google Cloud ou l'outil de ligne de commande gcloud):

Méthode Autorisations requises

locations.get

memcache.locations.get

locations.list

memcache.locations.list

instances.create

memcache.instances.create

instances.delete

memcache.instances.delete

instances.get

memcache.instances.get

instances.upgrade

memcache.instances.upgrade

instances.list

memcache.instances.list

instances.patch

memcache.instances.update

instances.updateParameters

memcache.instances.updateParameters

instances.applyParameters

memcache.instances.applyParameters

instances.applySoftwareUpdate

memcache.instances.applySoftwareUpdate

operations.get

memcache.operations.get

operations.list

memcache.operations.list

Autorisations liées aux stratégies de maintenance

Le tableau ci-dessous présente les autorisations requises pour gérer la règle de maintenance de Memorystore pour Memcached.

Autorisations nécessaires Créer une instance Memorystore avec une stratégie de maintenance activée Créer ou modifier des stratégies de maintenance sur une instance Memorystore existante Afficher les paramètres des stratégies de maintenance Replanifier la maintenance
memcache.instances.create X X X
memcache.instances.update X X X
memcache.instances.get X X X
memcache.instances.rescheduleMaintenance X X X

Étapes suivantes