En esta página, se describe cómo puedes controlar los permisos y el acceso a un proyecto de Memorystore para Redis mediante la administración de identidades y accesos (IAM).
Descripción general
Google Cloud ofrece IAM, que te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen las funciones y los permisos de IAM de Memorystore para Redis. Para obtener una descripción detallada de las funciones y los permisos, consulta la documentación de Cloud IAM.
Memorystore para Redis proporciona un conjunto de funciones predefinidas diseñadas con el fin de ayudarte a controlar fácilmente el acceso a tus recursos de Redis. Si las funciones predefinidas no proporcionan los conjuntos de permisos que necesitas, también puedes crear tus propias funciones personalizadas. Además, las funciones básicas más antiguas (editor, visualizador y propietario) aún están disponibles, aunque no proporcionan el mismo control detallado que las funciones de Memorystore para Redis. En particular, las funciones básicas brindan acceso a los recursos en Google Cloud, en lugar de solo a Memorystore para Redis. Para obtener más información sobre las funciones básicas, consulta Funciones básicas.
Permisos y funciones
En esta sección, se resumen los permisos y las funciones que admite Memorystore para Redis.
Funciones predefinidas
Memorystore for Redis proporciona algunos roles predefinidos que puedes usar para proporcionan permisos más detallados a las principales. La función que otorgas a una principal controla las acciones que puede realizar. Los principales pueden ser personas, grupos o cuentas de servicios.
Puedes otorgar varios roles a la misma principal y, si tienes permisos para hacerlo, puedes cambiar los roles otorgados a una principal en en cualquier momento.
Las funciones más amplias incluyen las más específicas. Por ejemplo, la función Editor de Redis incluye todos los permisos de la función Lector de Redis, junto con todos los permisos para la función Editor de Redis. Del mismo modo, la función Administrador de Redis incluye todos los permisos de la función Editor de Redis, junto con sus permisos adicionales.
Las funciones básicas (Propietario, Editor y Visualizador) proporcionan permisos en Google Cloud. Las funciones específicas de Memorystore para Redis solo proporcionan permisos de Memorystore para Redis, excepto los siguientes permisos de Google Cloud, que son necesarios para el uso general de Google Cloud:
resourcemanager.projects.get
resourcemanager.projects.list
En la siguiente tabla, se enumeran las funciones predefinidas disponibles de Memorystore para Redis, junto con sus permisos de Memorystore para Redis:
| Función | Nombre | Permisos de Redis | Descripción |
|---|---|---|---|
|
Owner |
|
Acceso y control totales para todos los recursos de Google Cloud; administración del acceso de los usuarios |
|
Editor | Todos los permisos de redis , excepto *.getIamPolicy y .setIamPolicy |
Acceso de lectura y escritura a todos los recursos de Google Cloud y Redis (control total, excepto la capacidad de modificar permisos) |
|
Lector |
|
Acceso de solo lectura a todos los recursos de Google Cloud, incluidos los recursos de Redis |
|
Administrador de Redis |
|
Control total de todos los recursos de Memorystore para Redis. |
|
Editor de Redis | Todos los permisos de redis, excepto
|
Administra instancias de Memorystore para Redis No se pueden crear ni borrar instancias. |
|
Lector de Redis | Todos los permisos de redis, excepto
|
Acceso de solo lectura a todos los recursos de Memorystore para Redis. |
Permisos y sus funciones
En la tabla siguiente, se enumeran los permisos que admite Memorystore para Redis y las funciones de Memorystore para Redis que lo incluyen:
| Permiso | Función de Redis | Función básica |
|---|---|---|
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis | Escritor |
|
Administrador de Redis Editor de Redis |
Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis | Escritor |
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis Editor de Redis Visualizador de Redis |
Lector |
|
Administrador de Redis | Escritor |
Funciones personalizadas
Si las funciones predefinidas no responden a tus requisitos comerciales únicos, puedes definir tus propias funciones personalizadas con los permisos que especifiques. Para responder a estas necesidades, IAM ofrece funciones personalizadas. Cuando crees funciones personalizadas de Memorystore para Redis, asegúrate de incluir resourcemanager.projects.get y resourcemanager.projects.list.
De lo contrario, la consola de Google Cloud no funcionará correctamente.
para Memorystore for Redis. Para obtener más información, consulta las dependencias de permisos.
Para aprender a crear una función personalizada, consulta Crea una función personalizada.
Permisos necesarios para realizar tareas comunes en la consola de Google Cloud
Para permitir que un usuario trabaje con Memorystore for Redis con
la consola de Google Cloud, el rol del usuario debe incluir las
resourcemanager.projects.get y resourcemanager.projects.list
permiso.
En la siguiente tabla, se proporcionan los otros permisos necesarios para algunas en la consola de Google Cloud:
| Tarea | Permisos adicionales obligatorios |
|---|---|
| Mostrar la página de listas de instancias |
|
| Crear y editar una instancia |
|
| Borrar una instancia |
|
| Conectar una instancia desde Cloud Shell |
|
| Ver información de instancias |
|
| Importar y exportar archivos de copia de seguridad de RDB |
|
| Actualiza la versión de Redis de una instancia |
|
Permisos obligatorios para los comandos de gcloud
Para permitir que un usuario trabaje con Memorystore para Redis mediante los comandos de gcloud, la función del usuario debe incluir los permisos resourcemanager.projects.get y resourcemanager.projects.list.
En la siguiente tabla, se enumeran los permisos que debe tener el usuario que invoca un comando de gcloud para cada subcomando gcloud redis:
| Comando | Permisos necesarios |
|---|---|
gcloud redis instances auth |
|
gcloud redis instances create |
|
gcloud redis instances delete |
|
gcloud redis instances update |
|
gcloud redis instances list |
|
gcloud redis instances describe |
|
gcloud redis instances import |
|
gcloud redis instances export |
|
gcloud redis instances upgrade |
|
gcloud redis operations list |
|
gcloud redis operations describe |
|
gcloud redis regions list |
|
gcloud redis regions describe |
|
gcloud redis zones list |
|
Permisos obligatorios para los métodos de API
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada
en la API de Memorystore for Redis o para realizar tareas
con las herramientas de Google Cloud que usan la API
(como la consola de Google Cloud o la herramienta de línea de comandos de gcloud):
| Método | Permisos necesarios |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
La cuenta de servicio de Memorystore para Redis
Cada instancia de Memorystore para Redis tiene una cuenta de servicio que usa para comunicarse con otros recursos de Google Cloud.
A veces (por ejemplo, cuando exportas o usas CMEK) debes otorgar roles o permisos específicos a la cuenta de servicio.
Formato de cuenta de servicio de Memorystore para Redis
La cuenta de servicio de tu instancia usa uno de los dos formatos diferentes, según cuando se creó.
El primer formato es:
[PROJECT_NUMBER]-compute@developer.gserviceaccount.comEl segundo formato es el siguiente:
service-[PROJECT_NUMBER]@cloud-redis.iam.gserviceaccount.com
Para ver la fuente de información sobre qué cuenta de servicio usa tu instancia, consulta Visualiza la cuenta de servicio de tu instancia.
Problemas conocidos
A veces, una cuenta de servicio que usa [PROJECT_NUMBER]-compute@developer.gserviceaccount.com
pueden entrar en conflicto con las políticas de tu organización. Para obtener más información y
pasos para resolver estos problemas, consulta Problemas con la política de la organización de uso compartido restringido del dominio.
Visualiza la cuenta de servicio de tu instancia:
Para ver la cuenta de servicio de tu instancia, ejecuta el siguiente comando:
y toma nota de la cuenta de servicio que aparece en
persistenceIamIdentity:
gcloud redis instances describe [INSTANCE_ID] --region=[REGION]
Permisos AUTH para Redis
En la siguiente tabla, se muestran los permisos mínimos que un usuario necesita con el fin de completar algunas tareas básicas de AUTH de Memorystore para Redis.
| Se necesitan permisos | Crea una instancia de Memorystore con AUTH para Redis habilitado. | Habilita o inhabilita AUTH en una instancia existente de Redis | Visualiza la string AUTH | Visualiza si AUTH está habilitado o inhabilitado para una instancia de Redis |
|---|---|---|---|---|
redis.instances.create
|
✓ | X | X | X |
redis.instances.update
|
X | ✓ | X | X |
redis.instances.get
|
X | X | X | ✓ |
redis.instances.updateAuth
|
✓ | ✓ | X | X |
redis.instances.getAuthString
|
X | X | ✓ | X |
Permisos de encriptación en tránsito
En la siguiente tabla, se muestran los permisos necesarios para habilitar y administrar la encriptación en tránsito. para Memorystore for Redis.
| Se necesitan permisos | Crea una instancia de Memorystore con encriptación en tránsito | Descargar la autoridad certificada |
|---|---|---|
redis.instances.create
|
✓ | X |
redis.instances.get
|
X | ✓ |
Permisos de la política de mantenimiento
En la siguiente tabla, se muestran los permisos necesarios para administrar la política de mantenimiento para Memorystore for Redis.
| Se necesitan permisos | Crea una instancia de Memorystore con una política de mantenimiento habilitada | Crear o modificar políticas de mantenimiento en una instancia de Memorystore existente | Visualiza la configuración de la política de mantenimiento | Reprograma el mantenimiento |
|---|---|---|---|---|
redis.instances.create
|
✓ | X | X | X |
redis.instances.update
|
X | ✓ | X | X |
redis.instances.get
|
X | X | ✓ | X |
redis.instances.rescheduleMaintenance
|
X | X | X | ✓ |
Permisos necesarios para importar y exportar
Usar roles personalizados para importar y exportar requiere dos roles roles de seguridad. Un rol personalizado para el usuario y otro rol personalizado para Redis la cuenta de servicio de la instancia. El rol personalizado para la cuenta de servicio usa Permisos a nivel de bucket de Cloud Storage.
Para encontrar la cuenta de servicio de tu instancia, consulta Visualiza la cuenta de servicio de tu instancia.
Permisos para la cuenta de servicio
Ten en cuenta que solo debes otorgar permisos de almacenamiento a la cuenta de servicio a nivel de bucket, no a todo el proyecto. Para obtener instrucciones, consulta Agrega un principal a una política a nivel de bucket.
Una vez que le otorgas permisos a nivel de bucket a tu cuenta de servicio, puedes Ignora el mensaje que indica “Memorystore no puede verificar si la cuenta de servicio xxxx@xxxx.gserviceaccount.com tiene los permisos necesarios importar y exportar. Si necesitas ayuda para verificar o actualizar los permisos, comunícate con el administrador de tu proyecto. Para conocer los permisos necesarios, consulta la documentación de permisos de importación y exportación”. Si aplicas los permisos que se indican a continuación a las funciones personalizadas para la cuenta de usuario y la cuenta de servicio, la importación o exportación se realizará de forma correcta.
| Permisos para una función personalizada de la cuenta de servicio | Importar con gcloud | Exportar con gcloud | Importa con la consola de Google Cloud | Exporta con la consola de Google Cloud |
|---|---|---|---|---|
storage.buckets.get |
✓ | ✓ | ✓ | ✓ |
storage.objects.get |
✓ | X | ✓ | X |
storage.objects.create |
X | ✓ | X | ✓ |
storage.objects.delete |
X | Opcional. (Otorga permiso para reemplazar el archivo RDB existente). |
X | Opcional. (Otorga permiso para reemplazar el archivo RDB existente). |
Permisos para la cuenta de usuario
| Permisos para funciones personalizadas de cuentas de usuario | Importar con gcloud | Exportar con gcloud | Importa con la consola de Google Cloud | Exporta con la consola de Google Cloud |
|---|---|---|---|---|
resourcemanager.projects.get |
X | X | ✓ | ✓ |
redis.instances.get |
✓ | ✓ | ✓ | ✓ |
redis.instances.list |
X | X | X | X |
redis.instances.import |
✓ | X | ✓ | X |
redis.instances.export |
X | ✓ | X | ✓ |
redis.operations.get |
X | ✓ | ✓ | ✓ |
redis.operations.list |
X | X | ✓ | ✓ |
redis.operations.cancel |
✓ | ✓ | ✓ | ✓ |
storage.buckets.list |
X | X | ✓ | ✓ |
storage.buckets.get |
X | X | ✓ | ✓ |
storage.objects.list |
X | X | ✓ | ✓ |
storage.objects.get |
X | X | ✓ | ✓ |
¿Qué sigue?
- Aprende a hacer lo siguiente: otorgar y revocar el acceso.
- Obtén más información sobre IAM.
- Conoce más acerca de las funciones personalizadas.