Cette page explique comment contrôler l'accès aux projets et les autorisations pour Memorystore pour Memcached à l'aide de la gestion de l'authentification et des accès (IAM).
Présentation
IAM vous permet de contrôler l'accès à certaines ressources Google Cloud de manière précise et empêche tout accès non souhaité à ces ressources. Pour une description détaillée des rôles et des autorisations, consultez la documentation IAM.
Memorystore pour Memcached fournit un ensemble de rôles prédéfinis conçus pour vous aider à contrôler facilement l'accès à vos ressources Memcached. Si les rôles prédéfinis ne fournissent pas les ensembles d'autorisations dont vous avez besoin, vous pouvez également créer des rôles personnalisés. Les anciens rôles de base (éditeur, lecteur et propriétaire) restent disponibles, même s'ils ne permettent pas un contrôle aussi précis que les rôles Memorystore pour Memcached. Plus précisément, les rôles de base fournissent un accès aux ressources sur Google Cloud, et pas seulement pour Memorystore pour Memcached. Pour en savoir plus sur les rôles de base, consultez la section Rôles de base.
Autorisations et rôles
Cette section récapitule les autorisations et les rôles associés à Memorystore pour Memcached.
Rôles prédéfinis
Memorystore pour Memcached fournit des rôles prédéfinis que vous pouvez utiliser pour fournir des autorisations plus précises aux entités principales. Le rôle que vous attribuez à une entité principale définit les actions qu'elle peut entreprendre. Les entités principales peuvent être des individus, des groupes ou des comptes de service.
Vous pouvez attribuer plusieurs rôles à la même entité principale et les modifier à tout moment.
Les rôles plus larges sont définis plus précisément. Par exemple, le rôle Éditeur Memcached inclut toutes les autorisations du rôle Lecteur Memcached, ainsi que les autorisations du rôle Éditeur Memcached. De même, le rôle Administrateur Memcached inclut toutes les autorisations du rôle Éditeur Memcached, ainsi que ses autorisations supplémentaires.
Les rôles de base (propriétaire, éditeur, lecteur) fournissent des autorisations pour l'ensemble des services Google Cloud. Les rôles propres à Memorystore pour Memcached n'incluent que des autorisations Memorystore pour Memcached, à l'exception des autorisations Google Cloud suivantes, nécessaires pour l'utilisation générale de Google Cloud :
resourcemanager.projects.get
resourcemanager.projects.list
Le tableau suivant répertorie les rôles prédéfinis disponibles pour Memorystore pour Memcached, ainsi que leurs autorisations Memorystore pour Memcached :
| Rôle | Nom | Autorisations Memcached | Description |
|---|---|---|---|
|
Propriétaire |
|
Accès complet à toutes les ressources Google Cloud, contrôle total sur ces ressources et gestion de l'accès des utilisateurs |
|
Éditeur | Toutes les autorisations memcache , à l'exception de *.getIamPolicy et .setIamPolicy |
Accès en lecture/écriture à toutes les ressources Google Cloud et Memcached (contrôle total, hormis la possibilité de modifier les autorisations). |
|
Lecteur |
|
Accès en lecture seule à toutes les ressources Google Cloud, y compris les ressources Memcached |
|
Administrateur Memcached |
|
Contrôle total sur toutes les ressources Memorystore pour Memcached |
|
Éditeur Memcached | Toutes les autorisations memcache, sauf
|
Gérer les instances Memorystore pour Memcached. création ou suppression d'instances impossible |
|
Lecteur Memcached | Toutes les autorisations memcache, sauf
|
Accès en lecture seule à toutes les ressources Memorystore pour Memcached. |
Autorisations et rôles associés
Le tableau suivant répertorie les autorisations compatibles avec Memorystore pour Memcached, ainsi que les rôles Memorystore pour Memcached qui les incluent :
| Permission | Rôle Memcached | Rôle de base |
|---|---|---|
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached | Auteur |
|
Administrateur Memcached Éditeur Memcached |
Auteur |
|
Administrateur Memcached | Auteur |
|
|
Administrateur Memcached Éditeur Memcached |
Auteur |
|
|
Administrateur Memcached Éditeur Memcached |
Auteur |
|
|
Administrateur Memcached Éditeur Memcached |
Rédacteur |
|
|
Administrateur Memcached | Rédacteur |
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached Éditeur Memcached Lecteur Memcached |
Reader |
|
Administrateur Memcached Éditeur Memcached |
Auteur |
Rôles personnalisés
Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Lorsque vous créez des rôles personnalisés pour Memorystore pour Memcached, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list.
Pour en savoir plus, consultez la section Dépendances d'autorisation.
Autorisations requises pour effectuer des tâches courantes dans la console Google Cloud
Pour qu'un utilisateur puisse utiliser Memorystore pour Memcached à l'aide de la console Google Cloud, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.
Le tableau suivant fournit les autres autorisations requises pour certaines tâches courantes dans la console Google Cloud:
| Tâche | Autorisations supplémentaires requises |
|---|---|
| Afficher la page contenant la liste des instances |
|
| Créer et modifier une instance |
|
| Supprimer une instance |
|
| Se connecter à une instance à partir de Cloud Shell |
|
| Mettre à niveau la version Memcached d'une instance |
|
| Afficher les informations sur les instances |
|
Autorisations requises pour les commandes gcloud
Pour permettre à un utilisateur de travailler avec Memorystore pour Memcached à l'aide des commandes gcloud, son rôle doit inclure les autorisations resourcemanager.projects.get et resourcemanager.projects.list.
Le tableau suivant répertorie les autorisations dont l'utilisateur appelant une commande gcloud doit disposer pour chaque sous-commande gcloud memcache :
| Command | Autorisations requises |
|---|---|
gcloud memcache instances create |
|
gcloud memcache instances delete |
|
gcloud memcache instances update |
|
gcloud memcache instances upgrade |
|
gcloud memcache instances list |
|
gcloud memcache instances describe |
|
gcloud memcache instances apply-parameters |
|
gcloud beta memcache instances apply-software-update |
|
gcloud memcache operations list |
|
gcloud memcache operations describe |
|
gcloud memcache regions list |
|
gcloud memcache regions describe |
|
gcloud memcache zones list |
|
Autorisations requises pour les méthodes API
Le tableau suivant répertorie les autorisations dont l'utilisateur doit disposer pour appeler chaque méthode dans l'API Memorystore pour Memcached ou pour effectuer des tâches à l'aide des outils Google Cloud qui utilisent l'API (tels que la console Google Cloud ou l'outil de ligne de commande gcloud):
| Méthode | Autorisations requises |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Autorisations liées aux stratégies de maintenance
Le tableau ci-dessous présente les autorisations requises pour gérer la règle de maintenance de Memorystore pour Memcached.
| Autorisations nécessaires | Créer une instance Memorystore avec une stratégie de maintenance activée | Créer ou modifier des stratégies de maintenance sur une instance Memorystore existante | Afficher les paramètres des stratégies de maintenance | Replanifier la maintenance |
|---|---|---|---|---|
memcache.instances.create
|
✓ | X | X | X |
memcache.instances.update
|
X | ✓ | X | X |
memcache.instances.get
|
X | X | ✓ | X |
memcache.instances.rescheduleMaintenance
|
X | X | X | ✓ |
Étapes suivantes
- Surveillez vos instances Memcached.
- Affichez les journaux d'audit de votre instance Memcached.