Controle de acesso ao projeto

Nesta página, descrevemos como controlar o acesso a projetos do Cloud Memorystore para Redis usando o Cloud Identity and Access Management (IAM, na sigla em inglês).

Visão geral

No Google Cloud Platform você conta com o Cloud IAM para dar acesso mais granular a recursos específicos do GCP e impedir o acesso indesejado a outros recursos. Nesta página, descrevemos os papéis e permissões de IAM do Cloud Memorystore para Redis. Para uma descrição detalhada dos papéis e permissões, consulte a documentação do Cloud IAM.

No Cloud Memorystore para Redis, há um grupo de papéis predefinidos, projetados para ajudá-lo a controlar facilmente o acesso aos recursos do Redis. Se os papéis predefinidos não fornecerem os conjuntos de permissões necessárias, você poderá criar seus próprios papéis personalizados. Além disso, os papéis primários legados (editor, leitor e proprietário) também estão disponíveis, mas com eles, você não tem o mesmo controle granular que os papéis do Cloud Memorystore para Redis. Em particular, os papéis primários fornecem acesso a recursos em todo o GCP e não apenas para Cloud Memorystore para Redis. Para mais informações sobre papéis primários, consulte Papéis primários.

Permissões e papéis

Nesta seção, apresentamos um resumo das permissões e papéis compatíveis com o Cloud Memorystore para Redis.

Papéis predefinidos

O Cloud Memorystore para Redis fornece alguns papéis predefinidos que podem ser usados para fornecer permissões mais precisas aos membros do projeto. As ações realizadas por membros do projeto são controladas pelos papéis concedidos a eles. Os membros do projeto podem ser indivíduos, grupos ou contas de serviço.

É possível conceder vários papéis a um membro do projeto e quem tiver permissões para isso poderá alterar os papéis concedidos a um membro do projeto a qualquer momento.

Nos papéis mais amplos, estão incluídos aqueles definidos de maneira mais restrita. Por exemplo, no papel de editor do Redis estão todas as permissões do papel de leitor do Redis, mais as permissões do editor. Da mesma forma, no papel de administrador, estão todas as permissões do papel de editor, além das respectivas permissões adicionais.

As permissões no GCP são fornecidas com os papéis primários (proprietário, editor, leitor). Nos papéis específicos do Cloud Memorystore para Redis estão apenas as permissões para o Cloud Memorystore para Redis, exceto pelas seguintes permissões do GCP, que são necessárias para uso geral dessa plataforma:

resourcemanager.projects.get
resourcemanager.projects.list

A tabela a seguir lista os papéis predefinidos disponíveis para o Cloud Memorystore para Redis e respectivas permissões:

Papel Nome Permissões do Redis Descrição

roles/owner

Proprietário

redis.*

Acesso e controle total para todos os recursos do GCP; gerenciar acesso do usuário

roles/editor

Editor Todas as permissões de redis exceto para *.getIamPolicy e .setIamPolicy Acesso de leitura e gravação a todos os recursos do GCP e do Redis (controle total, exceto pela capacidade de modificar permissões)

roles/viewer

Leitor

redis.*.get redis.*.list

Acesso somente leitura a todos os recursos do GCP, incluindo recursos do Redis

roles/redis.admin

Administrador do Redis

redis.*

Controle total a todos os recursos do Cloud Memorystore para Redis.

roles/redis.editor

Editor do Redis Todas as permissões de redis, exceto para

redis.instances.create redis.instances.delete

Gerenciamento de instâncias do Cloud Memorystore para Redis. Não pode criar ou excluir instâncias.

roles/redis.viewer

Leitor do Redis Todas as permissões de redis, exceto para

redis.instances.create redis.instances.delete redis.instances.update redis.operations.delete

Acesso somente leitura a todos os recursos do Cloud Memorystore para Redis.

Permissões e respectivos papéis

A tabela a seguir lista as permissões compatíveis com o Cloud Memorystore para Redis e os papéis do Memorystore para Redis incluídos:

Permissão Papel Redis Papel legado

redis.instances.list

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.instances.get

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.instances.create

Administrador do Redis Editor

redis.instances.update

Administrador do Redis
Editor do Redis
Editor

redis.instances.delete

Administrador do Redis Editor

redis.locations.list

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.locations.get

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.operations.list

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.operations.get

Administrador do Redis
Editor do Redis
Leitor do Redis
Leitor

redis.operations.delete

Administrador do Redis
Editor do Redis
Editor

Papéis personalizados

Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Para isso, o IAM oferece papéis personalizados. Ao criar papéis personalizados para o Cloud Memorystore para Redis, inclua resourcemanager.projects.get e resourcemanager.projects.list. Se isso não for feito, o Console do Google Cloud Platform não funcionará corretamente no Cloud Memorystore para Redis. Para mais informações, consulte Dependências de permissão.

Permissões necessárias para tarefas comuns no console do GCP

Para permitir que um usuário trabalhe com o Cloud Memorystore para Redis usando o Console do GCP, o papel do usuário precisa incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.

A tabela a seguir lista outras permissões necessárias para algumas tarefas comuns no Console do GCP.

Tarefa Permissões adicionais necessárias
Exibir a página de listagem de instâncias

redis.instances.get
redis.instances.list

Criar e editar uma instância

redis.instances.create
redis.instances.get
redis.instances.list
compute.networks.list

Excluir uma instância

redis.instances.delete
redis.instances.get
redis.instances.list

Conectar-se a uma instância do Cloud Shell

redis.instances.get
redis.instances.list
redis.instances.update

Exibir informações da instância

redis.instances.get
monitoring.timeSeries.list

Permissões necessárias para comandos gcloud

Para permitir que um usuário trabalhe com o Cloud Memorystore para Redis usando comandos gcloud, o papel do usuário deve incluir as permissões resourcemanager.projects.get e resourcemanager.projects.list.

A tabela a seguir lista as permissões que o usuário que invoca um comando gcloud precisa ter para cada subcomando gcloud redis.

Comando Permissões necessárias
gcloud redis instances create

redis.instances.get
redis.instances.create

gcloud redis instances delete

redis.instances.delete

gcloud redis instances update

redis.instances.get
redis.instances.update

gcloud redis instances list

redis.instances.list

gcloud redis instances describe

redis.instances.get

gcloud redis operations list

redis.operations.list

gcloud redis operations describe

redis.operations.get

gcloud redis regions list

redis.locations.list

gcloud redis regions describe

redis.locations.get

gcloud redis zones list

redis.locations.list

Permissões necessárias para métodos de API

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API do Cloud Memorystore para Redis ou para executar tarefas usando ferramentas do GCP que usam a API, como o Console do GCP ou a ferramenta de linha de comando gcloud:

Método Permissões necessárias

locations.get

redis.locations.get

locations.list

redis.locations.list

instances.create

redis.instances.create

instances.delete

redis.instances.delete

instances.get

redis.instances.get

instances.list

redis.instances.list

instances.patch

redis.instances.update

operations.get

redis.operations.get

operations.list

redis.operations.list

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Google Cloud Memorystore para Redis