Controle de acesso

Esta página explica os papéis do Identity and Access Management disponíveis para o Memorystore para Valkey e as permissões associadas a eles.

Para saber como conceder o papel a um usuário no projeto, consulte Conceder ou revogar um único papel.

Papéis predefinidos

Os seguintes papéis predefinidos estão disponíveis para o Memorystore para Valkey. Se você atualizar um papel para um principal de gerenciamento de identidade e acesso, a mudança vai levar alguns minutos para entrar em vigor.

Papel Nome Permissões do Memorystore Descrição

roles/owner

Proprietário

memorystore.*

Controle e acesso total a todos os recursos do Google Cloud, gerencie o acesso do usuário

roles/editor

Editor Todas as permissões memorystore, exceto *.getIamPolicy e .setIamPolicy Acesso de leitura e gravação a todos os recursos do Google Cloud e da Valkey (controle total, exceto a capacidade de modificar permissões)

roles/viewer

Leitor

memorystore.*.get memorystore.*.list

Acesso somente leitura a todos os recursos do Google Cloud, incluindo recursos do Valkey

roles/memorystore.admin

Administrador do Memorystore

memorystore.*

Controle total de todos os recursos do Memorystore para Valkey.

roles/memorystore.editor

Editor do Memorystore Todas as permissões memorystore, exceto

memorystore.instances.create memorystore.instances.delete memorystore.instances.connect

Gerencie instâncias do Memorystore para Valkey. Não pode criar ou excluir instâncias.

roles/memorystore.viewer

Leitor do Memorystore Todas as permissões memorystore, exceto

memorystore.instances.create memorystore.instances.delete memorystore.instances.update memorystore.instances.connect memorystore.operations.delete

Acesso somente leitura a todos os recursos do Memorystore para Valkey.

roles/memorystore.dbConnectionUser

Usuário de conexão do banco de dados do Memorystore

memorystore.instances.connect

Um papel que pode ser atribuído a usuários que precisam fazer a autenticação com o IAM Auth

Permissões e os papéis delas

A tabela a seguir lista cada permissão compatível com o Memorystore para Valkey e os papéis do Memorystore para Valkey que a incluem:

Permissão Função do Memorystore Papel básico

memorystore.instances.list

Administrador do Memorystore
Editor do Memorystore
Leitor do Memorystore
Leitor

memorystore.instances.get

Administrador do Memorystore
Editor do Memorystore
Leitor do Memorystore
Leitor

memorystore.instances.create

Administrador do Memorystore Proprietário

memorystore.instances.update

Memorystore Admin
Memorystore Editor
Editor

memorystore.instances.connect

Memorystore Admin
Usuário de conexão do banco de dados do Memorystore
Proprietário

Papéis personalizados

Se os papéis predefinidos não atenderem aos requisitos exclusivos de sua empresa, defina papéis personalizados próprios e especifique as respectivas permissões. Para isso, o IAM oferece papéis personalizados. Ao criar papéis personalizados para o Memorystore para Valkey, inclua resourcemanager.projects.get e resourcemanager.projects.list. Caso contrário, o console do Google Cloud não vai funcionar corretamente no Memorystore para Valkey. Para mais informações, consulte Dependências de permissão. Para saber como criar um papel personalizado, consulte Como criar um papel personalizado.

Permissões de criptografia em trânsito

A tabela abaixo mostra as permissões necessárias para ativar e gerenciar a criptografia em trânsito do Memorystore para Valkey.

Permissões necessárias Criar uma instância do Memorystore com criptografia em trânsito Fazer o download da autoridade de certificação
memorystore.instances.create X
memorystore.instances.get X

Função de criação de políticas de conectividade de rede

As permissões descritas nesta seção são necessárias para o administrador de rede que está estabelecendo uma política de conexão de serviço para o Memorystore para Valkey, conforme descrito na página Rede.

Para estabelecer a política necessária para a criação de instâncias do Memorystore para Valkey, o administrador de rede precisa ter o papel networkconnectivity.googleapis.com/consumerNetworkAdmin, que concede as seguintes permissões:

  • networkconnectivity.serviceconnectionpolicies.create
  • networkconnectivity.serviceconnectionpolicies.list
  • networkconnectivity.serviceconnectionpolicies.get
  • networkconnectivity.serviceconnectionpolicies.delete
  • networkconnectivity.serviceconnectionpolicies.update