Eingeschränkte Berechtigungen für den Import und Export gewähren

Auf dieser Seite werden die IAM-Berechtigungen der geringsten Berechtigung dokumentiert, die Sie für ein Nutzerkonto anwenden müssen, damit sie RDB-Sicherungen importieren oder exportieren können. Sie sollten die Berechtigungen mit der geringsten Berechtigung in Szenarien verwenden, wenn Sie keine umfassenden IAM-Rollen und die zugehörigen Berechtigungen einem Nutzerkonto zuweisen möchten.

Wenn Sie einfache Berechtigungen zum Importieren und Exportieren benötigen, wenden Sie die Rollen Cloud Memorystore Redis-Administrator und Storage-Administrator auf das Konto des Nutzers an, der importieren oder exportieren muss.

Erforderliche Mindestberechtigungen zum Importieren und Exportieren

Im Folgenden sind die Berechtigungen aufgeführt, die Sie einer benutzerdefinierten Rolle hinzufügen müssen, die einem Nutzerkonto für den Import und Export mit minimalen Berechtigungen zugewiesen ist. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rolle erstellen.

Außerdem müssen Sie eine zusätzliche benutzerdefinierte Rolle für das Servicekonto Ihrer Instanz erstellen und diese auf die Berechtigungen auf Bucket-Ebene für Ihren Cloud Storage-Bucket anwenden.

Führen Sie zum Ermitteln des Dienstkontos für Ihre Instanz den folgenden Befehl aus und notieren Sie sich das unter persistenceIamIdentity aufgeführte Dienstkonto:

gcloud redis instances describe [INSTANCE_ID] --region=[REGION]

Das Dienstkonto hat das Format "xxxxxxxxxxxx-compute@developer.gserviceaccount.com".

Berechtigungen für das Dienstkonto

Sie müssen dem Dienstkonto nur Storage-Berechtigungen auf Bucket-Ebene zuweisen, nicht auf das gesamte Projekt. Eine Anleitung finden Sie unter Mitglieder zu einer Richtlinie auf Bucket-Ebene hinzufügen.

Sobald Sie Ihrem Dienstkonto Berechtigungen auf Bereichsebene erteilen, können Sie die Meldung ignorieren, die besagt: "Memorystore kann nicht überprüfen, ob das Dienstkonto xxxxxxxxxxxx-compute@developer.gserviceaccount.com über die zum Importieren/Exportieren erforderlichen Berechtigungen verfügt. Wenn Sie Hilfe beim Überprüfen oder Aktualisieren von Berechtigungen benötigen, wenden Sie sich an den Administrator Ihres Projekts. Informationen zu den erforderlichen Berechtigungen finden Sie in der Dokumentation zu Import-/Exportberechtigungen." Wenn Sie die unten aufgeführten Berechtigungen auf benutzerdefinierte Rollen für das Nutzerkonto und das Dienstkonto anwenden, ist der Import/Export erfolgreich.

Berechtigungen für benutzerdefinierte Rolle für das Dienstkonto Mit gcloud importieren Mit gcloud exportieren Mit Cloud Console importieren Mit der Cloud Console exportieren
storage.buckets.get
storage.objects.get X X
storage.objects.create X X
storage.objects.delete X Optional
(Berechtigung zum Überschreiben einer vorhandenen RDB-Datei).
X Optional
(Berechtigung zum Überschreiben einer vorhandenen RDB-Datei).

Berechtigungen für das Nutzerkonto

Berechtigungen für die benutzerdefinierte Rolle für das Nutzerkonto Mit gcloud importieren Mit gcloud exportieren Mit Cloud Console importieren Mit der Cloud Console exportieren
resourcemanager.projects.get X X
redis.instances.get
redis.instances.list X X X X
redis.instances.import X X
redis.instances.export X X
redis.operations.get X X
redis.operations.list X X
redis.operations.cancel
storage.buckets.list X X
storage.buckets.get X X
storage.objects.list X X
storage.objects.get X X

Nächste Schritte