Questa pagina descrive come controllare l'accesso e le autorizzazioni dei progetti per Memorystore per Memcached utilizzando Identity and Access Management (IAM).
Panoramica
IAM ti consente di controllare l'accesso a determinate risorse Google Cloud a livello granulare e di impedire l'accesso indesiderato a queste risorse. Per una descrizione dettagliata dei ruoli e delle autorizzazioni, consulta la documentazione di IAM.
Memorystore for Memcached fornisce un insieme di ruoli predefiniti progettati per aiutarti a controllare facilmente l'accesso alle risorse Memcached. Se i ruoli predefiniti non forniscono i set di autorizzazioni di cui hai bisogno, puoi anche creare ruoli personalizzati. Inoltre, i ruoli di base precedenti (Editor, Visualizzatore e Proprietario) sono ancora disponibili, anche se non forniscono lo stesso controllo granulare dei ruoli di Memorystore per Memcached. Nello specifico, i ruoli di base forniscono accesso alle risorse di Google Cloud, anziché solo a Memorystore for Memcached. Per ulteriori informazioni sui ruoli di base, consulta Ruoli di base.
Autorizzazioni e ruoli
Questa sezione riepiloga le autorizzazioni e i ruoli supportati da Memorystore for Memcached.
Ruoli predefiniti
Memorystore for Memcached fornisce ruoli predefiniti che puoi utilizzare per fornire autorizzazioni più granulari alle entità. Il ruolo concesso a un'entità controlla le azioni che può eseguire. Le entità possono essere persone, gruppi o account di servizio.
Puoi concedere più ruoli alla stessa entità e puoi modificarli in qualsiasi momento.
I ruoli più ampi sono definiti in modo più specifico. Ad esempio, il ruolo Editor Memcached include tutte le autorizzazioni del ruolo Visualizzatore Memcached, oltre alle autorizzazioni per il ruolo Editor Memcached. Analogamente, il ruolo Amministratore Memcached include tutte le autorizzazioni del ruolo Editor Memcached, oltre alle autorizzazioni aggiuntive.
I ruoli di base (Proprietario, Editor e Visualizzatore) forniscono autorizzazioni in Google Cloud. I ruoli specifici di Memorystore for Memcached forniscono solo le autorizzazioni di Memorystore for Memcached, ad eccezione delle seguenti autorizzazioni Google Cloud, necessarie per l'utilizzo generale di Google Cloud:
resourcemanager.projects.get
resourcemanager.projects.list
La tabella seguente elenca i ruoli predefiniti disponibili per Memorystore for Memcached, insieme alle relative autorizzazioni:
| Ruolo | Nome | Autorizzazioni Memcached | Descrizione |
|---|---|---|---|
|
Proprietario |
|
Accesso e controllo completi per tutte le risorse Google Cloud; gestione dell'accesso degli utenti |
|
Editor | Tutte le memcache autorizzazioni tranne *.getIamPolicy e
.setIamPolicy |
Accesso in lettura/scrittura a tutte le risorse Google Cloud e Memcached (controllo completo con esclusione della possibilità di modificare le autorizzazioni) |
|
Visualizzatore |
|
Accesso di sola lettura a tutte le risorse Google Cloud, incluse le risorse Memcached |
|
Memcached Admin |
|
Controllo completo di tutte le risorse Memorystore for Memcached. |
|
Memcached Editor | Tutte le autorizzazioni memcache tranne
|
Gestisci le istanze Memorystore for Memcached. Non può creare o eliminare le istanze. |
|
Memcached Viewer | Tutte le autorizzazioni memcache tranne
|
Accesso di sola lettura a tutte le risorse Memorystore per Memcached. |
Autorizzazioni e relativi ruoli
La tabella seguente elenca le autorizzazioni supportate da Memorystore per Memcached e i ruoli Memorystore per Memcached che le includono:
| Autorizzazione | Ruolo Memcached | Ruolo di base |
|---|---|---|
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin | Writer |
|
Memcached Admin Memcached Editor |
Writer |
|
Memcached Admin | Writer |
|
|
Memcached Admin Memcached Editor |
Writer |
|
|
Memcached Admin Memcached Editor |
Writer |
|
|
Memcached Admin Memcached Editor |
Writer |
|
|
Memcached Admin | Writer |
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin Memcached Editor Memcached Viewer |
Reader |
|
Memcached Admin Memcached Editor |
Writer |
Ruoli personalizzati
Se i ruoli predefiniti non soddisfano i tuoi requisiti aziendali specifici, puoi definire i tuoi ruoli personalizzati con le autorizzazioni da te specificate. Quando crei ruoli personalizzati per
Memorystore per Memcached, assicurati di includere sia
resourcemanager.projects.get sia resourcemanager.projects.list.
Per ulteriori informazioni, consulta Dipendenze delle autorizzazioni.
Autorizzazioni richieste per le attività comuni nella console Google Cloud
Per consentire a un utente di utilizzare Memorystore per Memcached utilizzando la console Google Cloud, il ruolo dell'utente deve includere le autorizzazioni resourcemanager.projects.get e resourcemanager.projects.list.
La tabella seguente fornisce le altre autorizzazioni richieste per alcune attività comuni nella console Google Cloud:
| Attività | Autorizzazioni aggiuntive richieste |
|---|---|
| Visualizza la pagina dell'elenco di istanze |
|
| Creazione e modifica di un'istanza |
|
| Eliminazione di un'istanza |
|
| Connessione a un'istanza da Cloud Shell |
|
| Upgrade della versione Memcached di un'istanza |
|
| Visualizzazione di informazioni sulle istanze |
|
Autorizzazioni richieste per i comandi gcloud
Per consentire a un utente di utilizzare Memorystore per Memcached utilizzando i comandi gcloud, il suo ruolo deve includere le autorizzazioni resourcemanager.projects.get e resourcemanager.projects.list.
La tabella seguente elenca le autorizzazioni che l'utente che richiama un comando gcloud deve disporre per ogni comando secondario gcloud memcache:
| Comando | Autorizzazioni obbligatorie |
|---|---|
gcloud memcache instances create |
|
gcloud memcache instances delete |
|
gcloud memcache instances update |
|
gcloud memcache instances upgrade |
|
gcloud memcache instances list |
|
gcloud memcache instances describe |
|
gcloud memcache instances apply-parameters |
|
gcloud beta memcache instances apply-software-update |
|
gcloud memcache operations list |
|
gcloud memcache operations describe |
|
gcloud memcache regions list |
|
gcloud memcache regions describe |
|
gcloud memcache zones list |
|
Autorizzazioni richieste per i metodi API
La tabella seguente elenca le autorizzazioni che l'utente deve disporre per chiamare ogni metodo nell'API Memorystore per Memcached o per eseguire attività utilizzando gli strumenti Google Cloud che utilizzano l'API (ad esempio la console Google Cloud o lo strumento a riga di comando gcloud):
| Metodo | Autorizzazioni obbligatorie |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Autorizzazioni dei criteri di manutenzione
La tabella seguente mostra le autorizzazioni necessarie per gestire il criterio di manutenzione per Memorystore per Memcached.
| Autorizzazioni richieste | Creare un'istanza Memorystore con una norma di manutenzione abilitata | Creare o modificare i criteri di manutenzione in un'istanza Memorystore esistente | Visualizzazione delle impostazioni dei criteri di manutenzione | Riprogrammazione della manutenzione |
|---|---|---|---|---|
memcache.instances.create
|
✓ | X | X | X |
memcache.instances.update
|
X | ✓ | X | X |
memcache.instances.get
|
X | X | ✓ | X |
memcache.instances.rescheduleMaintenance
|
X | X | X | ✓ |
Passaggi successivi
- Monitora le tue istanze Memcached.
- Visualizza gli audit log per la tua istanza Memcached.