Kontrol akses dengan IAM

Halaman ini menjelaskan cara mengontrol akses dan izin project untuk Memorystore untuk Memcached menggunakan Identity and Access Management (IAM).

Ringkasan

Dengan IAM, Anda dapat mengontrol akses ke resource Google Cloud tertentu pada level terperinci, dan juga mencegah akses yang tidak diinginkan ke resource tersebut. Untuk penjelasan lengkap tentang peran dan izin, lihat dokumentasi IAM.

Memorystore for Memcached menyediakan serangkaian peran yang telah ditetapkan yang dirancang untuk membantu Anda mengontrol akses dengan mudah ke resource Memcached Anda. Jika peran yang telah ditetapkan tidak menyediakan sekumpulan izin yang diperlukan, Anda juga dapat membuat peran khusus. Selain itu, peran dasar yang lebih lama (Editor, Viewer, dan Pemilik) masih tersedia untuk Anda, meskipun tidak memberikan kontrol terperinci yang sama dengan peran Memorystore for Memcached. Secara khusus, peran dasar memberikan akses ke resource di seluruh Google Cloud, bukan hanya untuk Memorystore for Memcached. Untuk mengetahui informasi selengkapnya tentang peran dasar, lihat Peran dasar.

Izin dan peran

Bagian ini merangkum izin dan peran yang didukung Memorystore for Memcached.

Peran yang telah ditetapkan

Memorystore for Memcached menyediakan peran yang telah ditetapkan yang dapat Anda gunakan untuk memberikan izin yang lebih terperinci ke akun utama. Peran yang Anda berikan kepada akun utama akan mengontrol tindakan yang dapat dilakukan oleh akun utama. Kepala sekolah dapat berupa individu, grup, atau akun layanan.

Anda dapat memberikan beberapa peran kepada akun utama yang sama, dan dapat mengubah peran kapan saja.

Peran yang lebih luas didefinisikan dengan lebih sempit. Misalnya, peran Memcached Editor mencakup semua izin peran Memcached Viewer, beserta penambahan izin untuk peran Memcached Editor. Demikian juga, peran Admin Memcached mencakup semua izin peran Memcached Editor, beserta izin tambahannya.

Peran dasar (Pemilik, Editor, Pengakses Lihat-Saja) memberikan izin di seluruh Google Cloud. Peran khusus untuk Memorystore for Memcached hanya memberikan izin Memorystore for Memcached, kecuali untuk izin Google Cloud berikut, yang diperlukan untuk penggunaan umum Google Cloud:

resourcemanager.projects.get
resourcemanager.projects.list

Tabel berikut mencantumkan peran bawaan yang tersedia untuk Memorystore for Memcached, beserta izin Memorystore for Memcached-nya:

Peran	Nama	Izin Memcache	Deskripsi
`roles/owner`	Owner	`memcache.*`	Akses dan kontrol penuh untuk semua resource Google Cloud; kelola akses pengguna
`roles/editor`	Editor	Semua `memcache` izin kecuali untuk `*.getIamPolicy` & `.setIamPolicy`	Akses baca-tulis ke semua resource Google Cloud dan Memcached (kontrol penuh kecuali untuk kemampuan untuk mengubah izin)
`roles/viewer`	Viewer	`memcache..get memcache..list`	Akses hanya baca ke semua resource Google Cloud, termasuk resource Memcached
`roles/memcache.admin`	Admin Memcache	`memcache.*`	Kontrol penuh untuk semua resource Memorystore for Memcached.
`roles/memcache.editor`	Editor Memcached	Semua izin `memcache` kecuali untuk `memcache.instances.create memcache.instances.delete memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	Kelola instance Memorystore for Memcached. Tidak dapat membuat atau menghapus instance.
`roles/memcache.viewer`	Penampil Memcached	Semua izin `memcache` kecuali untuk `memcache.instances.create memcache.instances.delete memcache.instances.update memcache.operations.delete memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate memcache.instances.upgrade`	Akses hanya baca ke semua resource Memorystore for Memcached.

Izin dan perannya

Tabel berikut mencantumkan izin yang didukung Memorystore for Memcached, dan peran Memorystore for Memcached yang menyertakannya:

Izin	Peran Memcached	Peran dasar
`memcache.instances.list`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.instances.get`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.instances.create`	Admin Memcache	Penulis
`memcache.instances.update`	Admin Memcached Editor Memcache	Penulis
`memcache.instances.delete`	Admin Memcache	Penulis
`memcache.instances.applyParameters`	Admin Memcache Editor Memcache	Penulis
`memcache.instances.updateParameters`	Admin Memcache Editor Memcache	Penulis
`memcache.instances.applySoftwareUpdate`	Admin Memcache Editor Memcache	Penulis
`memcache.instances.upgrade`	Admin Memcache	Penulis
`memcache.locations.list`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.locations.get`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.operations.list`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.operations.get`	Admin Memcached Editor Memcache Viewer Memcached	Pembaca
`memcache.operations.delete`	Admin Memcached Editor Memcache	Penulis

Peran khusus

Jika peran yang telah ditetapkan tidak memenuhi persyaratan bisnis unik, Anda dapat menentukan peran khusus Anda sendiri dengan izin yang Anda tentukan. Saat membuat peran kustom untuk Memorystore untuk Memcached, pastikan Anda menyertakan resourcemanager.projects.get dan resourcemanager.projects.list. Untuk informasi selengkapnya, lihat Dependensi izin.

Izin yang diperlukan untuk tugas umum di konsol Google Cloud

Agar pengguna dapat menggunakan Memorystore for Memcached menggunakan konsol Google Cloud, peran pengguna harus menyertakan izin resourcemanager.projects.get dan resourcemanager.projects.list.

Tabel berikut menyediakan izin lain yang diperlukan untuk beberapa tugas umum di Google Cloud Console:

Tugas	Izin tambahan yang diperlukan
Menampilkan halaman listingan instance	`memcache.instances.get memcache.instances.list`
Membuat dan mengedit instance	`memcache.instances.create memcache.instances.get memcache.instances.list memcache.instances.update memcache.instances.applyParameters memcache.instances.updateParameters memcache.instances.applySoftwareUpdate compute.networks.list`
Menghapus instance	`memcache.instances.delete memcache.instances.get memcache.instances.list`
Menghubungkan ke instance dari Cloud Shell	`memcache.instances.get memcache.instances.list memcache.instances.update`
Mengupgrade versi Memcached suatu instance	`memcache.instances.upgrade`
Melihat informasi instance	`memcache.instances.get monitoring.timeSeries.list`

Izin yang diperlukan untuk perintah gcloud

Agar pengguna dapat menggunakan Memorystore for Memcached menggunakan perintah gcloud, peran pengguna harus menyertakan izin resourcemanager.projects.get dan resourcemanager.projects.list.

Tabel berikut mencantumkan izin yang harus dimiliki pengguna yang memanggil perintah gcloud untuk setiap subperintah gcloud memcache:

Perintah	Izin yang diperlukan
`gcloud memcache instances create`	`memcache.instances.get memcache.instances.create`
`gcloud memcache instances delete`	`memcache.instances.delete`
`gcloud memcache instances update`	`memcache.instances.get memcache.instances.update memcache.instances.updateParameters`
`gcloud memcache instances upgrade`	`memcache.instances.upgrade`
`gcloud memcache instances list`	`memcache.instances.list`
`gcloud memcache instances describe`	`memcache.instances.get`
`gcloud memcache instances apply-parameters`	`memcache.instances.applyParameters`
`gcloud beta memcache instances apply-software-update`	`memcache.instances.applySoftwareUpdate`
`gcloud memcache operations list`	`memcache.operations.list`
`gcloud memcache operations describe`	`memcache.operations.get`
`gcloud memcache regions list`	`memcache.locations.list`
`gcloud memcache regions describe`	`memcache.locations.get`
`gcloud memcache zones list`	`memcache.locations.list`

Izin yang diperlukan untuk metode API

Tabel berikut mencantumkan izin yang harus dimiliki pengguna untuk memanggil setiap metode dalam Memorystore for Memcached API atau untuk melakukan tugas menggunakan alat Google Cloud yang menggunakan API tersebut (seperti Google Cloud Console atau alat command line gcloud):

Metode	Izin yang diperlukan
`locations.get`	`memcache.locations.get`
`locations.list`	`memcache.locations.list`
`instances.create`	`memcache.instances.create`
`instances.delete`	`memcache.instances.delete`
`instances.get`	`memcache.instances.get`
`instances.upgrade`	`memcache.instances.upgrade`
`instances.list`	`memcache.instances.list`
`instances.patch`	`memcache.instances.update`
`instances.updateParameters`	`memcache.instances.updateParameters`
`instances.applyParameters`	`memcache.instances.applyParameters`
`instances.applySoftwareUpdate`	`memcache.instances.applySoftwareUpdate`
`operations.get`	`memcache.operations.get`
`operations.list`	`memcache.operations.list`

Izin kebijakan pemeliharaan

Tabel di bawah menunjukkan izin yang diperlukan untuk mengelola Kebijakan pemeliharaan untuk Memorystore for Memcached.

Izin yang diperlukan	Membuat instance Memorystore yang mengaktifkan kebijakan pemeliharaan	Membuat atau mengubah kebijakan pemeliharaan pada instance Memorystore yang ada	Melihat setelan kebijakan pemeliharaan	Penjadwalan ulang pemeliharaan
`memcache.instances.create`	✓	X	X	X
`memcache.instances.update`	X	✓	X	X
`memcache.instances.get`	X	X	✓	X
`memcache.instances.rescheduleMaintenance`	X	X	X	✓

Langkah selanjutnya

Pantau instance Memcached Anda.
Lihat log audit untuk instance Memcache Anda.