您可通过向用户授予 Identity and Access Management (IAM) 角色来授予对 Parallelstore 操作的访问权限。
IAM 权限只能控制对 Parallelstore 操作(例如创建 Parallelstore 实例)的访问权限。如需控制对实例操作(例如读取或执行)的访问权限,请使用 POSIX 文件权限。
权限和角色
Parallelstore 使用以下权限:
| 权限 | 说明 |
|---|---|
parallelstore.instances.create |
创建新实例 |
parallelstore.instances.delete |
删除实例 |
parallelstore.instances.update |
更新实例。不允许删除 |
parallelstore.instances.get |
检索实例 |
parallelstore.instances.list |
列出所有实例 |
parallelstore.instances.exportData
|
将数据从 Parallelstore 导出到 Cloud Storage |
parallelstore.instances.importData
|
将数据从 Cloud Storage 导入 Parallelstore |
Google Cloud 不支持直接授予单个权限;您必须授予包含权限的角色。下表列出了 Parallelstore 的预定义角色以及基本 Editor 角色授予的权限:
| 能力 | Editor (roles/editor) |
Parallelstore (roles/parallelstore.*)
|
|
|---|---|---|---|
admin |
viewer |
||
| 创建实例 | |||
| 删除实例 | |||
| 更新实例 | |||
| 获取实例 | |||
| 列出实例 | |||
| 向/从 Cloud Storage 导入/导出数据 | |||
自定义角色
如果可用的预定义角色不符合贵组织的访问权限要求,您可以创建和应用自定义 IAM 角色。
创建自定义角色时,建议将预定义角色进行组合,以确保包含正确的权限。
其他必需的 Google Cloud 权限
除了 parallelstore 权限之外,完成特定任务还需要一些 Google Cloud权限。
| 任务 | 权限 |
|---|---|
| 创建 VPC 网络 | servicenetworking.services.addPeering 是必填字段。
授予 roles/compute.networkAdmin 或 roles/servicenetworking.networksAdmin。 |
| 从 Cloud Storage 导入 | Parallelstore 服务账号需要对源存储分区拥有 roles/storage.admin 权限。
如需相关说明,请参阅将数据传输到 Cloud Storage 或从中传输数据的所需权限部分。 |
| 导出到 Cloud Storage | Parallelstore 服务账号需要对目标存储分区拥有 roles/storage.admin 权限。
如需相关说明,请参阅将数据传输到 Cloud Storage 或从中传输数据的所需权限部分。 |
| 创建 Compute Engine 虚拟机 | Compute Instance Admin (v1)。
(roles/compute.instanceAdmin.v1)
如需了解详情,请参阅 Compute Engine 文档。 |
| 创建和管理 Google Kubernetes Engine 集群 | 容器管理员。
(roles/container.admin)
如需了解详情,请参阅 Google Kubernetes Engine 文档。 |
| 监控 | 必须拥有 Monitoring Viewer (roles/monitoring.viewer) 角色。 |