Como conceder permissões restritas para importação e exportação

Nesta página, documentamos as permissões de IAM de menor privilégio que você precisa aplicar a uma conta de usuário para que ele possa importar ou exportar backups do RDB. Use essas permissões de menor privilégio em cenários quando não quiser conceder papéis amplos do IAM e as permissões associadas a uma conta de usuário.

Se você quiser permissões simples para ativar a importação e a exportação, aplique os papéis Administrador do Cloud Memorystore e Administrador do Storage à conta do usuário que precisa importar ou exportar.

Permissões mínimas necessárias para importar e exportar

Veja abaixo as permissões que você precisa adicionar a um papel personalizado atribuído a uma conta de usuário para importação e exportação com privilégio mínimo. Para saber como criar um papel personalizado, consulte Como criar um papel personalizado.

Além disso, você precisa criar um papel personalizado adicional para a conta de serviço da instância e aplicá-lo às permissões no nível do intervalo do Cloud Storage.

Para encontrar a conta de serviço da instância, execute o seguinte comando e anote a conta de serviço listada em persistenceIamIdentity:

gcloud redis instances describe [INSTANCE_ID] --region=[REGION]

A conta de serviço seguirá o formato "xxxxxxxxxxxx-compute@developer.gserviceaccount.com".

Permissões para a conta de serviço

Observe que você só precisa conceder permissões de armazenamento à conta de serviço no nível do intervalo, não ao projeto inteiro. Para instruções, consulte Como adicionar um membro a uma política no nível do intervalo.

Depois de conceder permissões no nível do intervalo da conta de serviço, ignore a mensagem "O Memorystore não consegue verificar se a conta de serviço xxxxxxxxxxxx-compute@developer.gserviceaccount.com tem as permissões necessárias para importar/exportar. Se você precisar de ajuda para verificar ou atualizar as permissões, entre em contato com o administrador do projeto. Para as permissões necessárias, consulte a documentação de permissões de importação/exportação." Se você aplicar as permissões listadas abaixo aos papéis personalizados da conta de usuário e da conta de serviço, a importação/exportação será bem-sucedida.

Permissões para o papel personalizado da conta de serviço Importar com gcloud Exportar com gcloud Importar com o Console do Cloud Exportar com o Console do Cloud
storage.buckets.get
storage.objects.get X X
storage.objects.create X X
storage.objects.delete X Opcional.
Concede permissão para substituir o arquivo RDB atual.
X Opcional.
Concede permissão para substituir o arquivo RDB atual.

Permissões para a conta de usuário

Permissões para o papel personalizado da conta de usuário Importar com gcloud Exportar com gcloud Importar com o Console do Cloud Exportar com o Console do Cloud
resourcemanager.projects.get X X
redis.instances.get
redis.instances.list X X X X
redis.instances.import X X
redis.instances.export X X
redis.operations.get X X
redis.operations.list X X
redis.operations.cancel
storage.buckets.list X X
storage.buckets.get X X
storage.objects.list X X
storage.objects.get X X

A seguir