本页介绍了 Memorystore for Valkey 提供的 Identity and Access Management 角色以及这些角色的相关权限。
如需了解如何向项目中的用户授予该角色,请参阅授予或撤消单个角色。
预定义角色
Memorystore for Valkey 提供以下预定义角色。如果您更新 Identity and Access Management 主账号的角色,更改需要几分钟才能生效。
角色 | 名称 | Memorystore 权限 | 说明 |
---|---|---|---|
|
所有者 |
|
对所有 Google Cloud 资源拥有完整访问权限和控制权;可以管理用户访问权限 |
|
编辑者 | 除以下权限以外的所有 memorystore 权限: *.getIamPolicy 和 .setIamPolicy |
对所有 Google Cloud 和 Valkey 资源拥有读写权限(拥有完全控制权,但不能修改权限) |
|
查看者 |
|
对所有 Google Cloud 资源(包括 Valkey 资源)拥有只读权限 |
|
Memorystore Admin |
|
对所有 Memorystore for Valkey 资源拥有完全控制权。 |
|
Memorystore Editor | 除以下权限以外的所有 memorystore 权限
|
管理 Memorystore for Valkey 实例。无法创建或删除实例。 |
|
Memorystore Viewer | 除以下权限以外的所有 memorystore 权限
|
拥有对所有 Memorystore for Valkey 资源的只读权限。 |
|
Memorystore Database Connection User |
|
您可以将此角色分配给需要使用 IAM Auth 进行身份验证的用户 |
权限及其对应的角色
下表列出了 Memorystore for Valkey 支持的每个权限以及包含权限的 Memorystore for Valkey 角色:
权限 | Memorystore 角色 | 基本角色 |
---|---|---|
|
Memorystore Admin Memorystore Editor Memorystore Viewer |
查看者 |
|
Memorystore 管理员 Memorystore 编辑器 Memorystore 查看者 |
查看者 |
|
Memorystore Admin | 所有者 |
|
Memorystore Admin Memorystore Editor |
编辑者 |
|
Memorystore Admin Memorystore Database Connection User |
所有者 |
自定义角色
如果预定义角色不能满足您的独特业务需求,您可以使用指定的权限定义自己的自定义角色。为此,IAM 提供了自定义角色。在为 Memorystore for Valkey 创建自定义角色时,请务必同时包含 resourcemanager.projects.get
和 resourcemanager.projects.list
。否则, Google Cloud 控制台将无法正常处理 Memorystore for Valkey。如需了解详情,请参阅权限依赖项。
如需了解如何创建自定义角色,请参阅创建自定义角色。
传输加密权限
下表显示了为 Memorystore for Valkey 启用和管理传输加密所需的权限。
所需权限 | 创建使用传输加密的 Memorystore 实例 | 下载证书授权机构 |
---|---|---|
memorystore.instances.create
|
✓ | X |
memorystore.instances.get
|
X | ✓ |
网络连接政策创建角色
如网络页面中所述,负责为 Memorystore for Redis 建立服务连接政策的网络管理员需要具备本部分所述的权限。
如需建立创建 Memorystore for Valkey 实例所需的政策,网络管理员必须具有 networkconnectivity.googleapis.com/consumerNetworkAdmin
角色,该角色会授予以下权限:
- networkconnectivity.serviceconnectionpolicies.create
- networkconnectivity.serviceconnectionpolicies.list
- networkconnectivity.serviceconnectionpolicies.get
- networkconnectivity.serviceconnectionpolicies.delete
- networkconnectivity.serviceconnectionpolicies.update