Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Contrôle des accès avec IAM

Cette page décrit les rôles Identity and Access Management disponibles pour Memorystore for Redis Cluster, ainsi que les autorisations associées à ces rôles. Memorystore for Redis Cluster et Memorystore pour Redis utilisent les mêmes rôles IAM. Les autorisations que ces rôles accordent pour Memorystore for Redis Cluster sont listées sur cette page. Les autorisations que ces rôles accordent pour Memorystore pour Redis sont listées sur la page Contrôle des accès à Memorystore pour Redis. Bien que les autorisations soient listées séparément sur les deux pages, les rôles accordent des autorisations à la fois pour Memorystore for Redis Cluster et pour Memorystore pour Redis.

Memorystore for Redis Cluster utilise une structure de nommage des autorisations différente de celle de Memorystore pour Redis :

Les instances Memorystore for Redis Cluster utilisent redis.clusters.[PERMISSION].
Les instances Memorystore pour Redis utilisent redis.instances.[PERMISSION].

Pour en savoir plus sur le rôle d'administrateur Redis, consultez la section Rôles prédéfinis.

Pour savoir comment accorder le rôle à un utilisateur de votre projet, consultez la section Attribuer ou révoquer un rôle unique.

Rôles prédéfinis

Les rôles prédéfinis suivants sont disponibles pour Memorystore for Redis Cluster. Si vous mettez à jour un rôle pour un principal Identity and Access Management, la modification prendra plusieurs minutes à prendre effet.

Rôle	Nom	Autorisations Redis	Description
`roles/owner`	Propriétaire	`redis.*`	Accès complet à toutes les ressources et contrôle total sur ces ressources, et gestion de l'accès des utilisateurs Google Cloud
`roles/editor`	Éditeur	Toutes les autorisations `redis`, à l'exception de `*.getIamPolicy` & `.setIamPolicy`	Accès en lecture/écriture à toutes les ressources Google Cloud et Redis (contrôle total , hormis la possibilité de modifier les autorisations)
`roles/viewer`	Lecteur	`redis..get redis..list`	Accès en lecture seule à toutes les ressources Memorystore for Redis Cluster. Toutefois, vous ne pouvez pas utiliser cette autorisation pour afficher les données associées aux ressources.
`roles/redis.admin`	Administrateur Redis	`redis.*`	Contrôle total sur toutes les ressources Memorystore for Redis Cluster.
`roles/redis.editor`	Éditeur Redis	Toutes les autorisations `redis`, à l'exception de `redis.clusters.create redis.clusters.delete redis.clusters.connect`	Gestion des instances Memorystore for Redis Cluster. Création ou suppression d'instances impossible
`roles/redis.viewer`	Lecteur Redis	Toutes les autorisations `redis`, à l'exception de `redis.clusters.create redis.clusters.delete redis.clusters.update redis.clusters.connect redis.operations.delete`	Accès en lecture seule à toutes les ressources Memorystore for Redis Cluster.
`roles/redis.dbConnectionUser`	Utilisateur de connexion à la base de données Redis	`redis.clusters.connect`	Rôle que vous pouvez attribuer aux utilisateurs qui doivent s'authentifier avec l'authentification IAM.

Autorisations et rôles associés

Le tableau suivant répertorie toutes les autorisations disponibles pour Memorystore for Redis Cluster et les rôles Memorystore pour Redis qui les incluent :

Autorisation	Rôle Redis	Rôle de base
`redis.clusters.list`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.get`	Administrateur Redis Éditeur Redis Lecteur Redis	Lecteur
`redis.clusters.create`	Administrateur Redis	Propriétaire
`redis.clusters.update`	Administrateur Redis Éditeur Redis	Éditeur
`redis.clusters.connect`	Administrateur Redis Utilisateur de connexion à la base de données Redis	Propriétaire
`redis.clusters.rescheduleMaintenance`	Administrateur Redis	Propriétaire

Rôles personnalisés

Si les rôles prédéfinis ne répondent pas à vos exigences commerciales, vous pouvez définir des rôles personnalisés avec des autorisations que vous spécifiez. Pour ce faire, utilisez les rôles personnalisés dans IAM. Lorsque vous créez des rôles personnalisés pour Memorystore for Redis Cluster, veillez à inclure à la fois resourcemanager.projects.get et resourcemanager.projects.list. Sinon, la Google Cloud console ne fonctionnera pas correctement pour Memorystore for Redis Cluster. Pour en savoir plus, consultez la section Dépendances d'autorisation. Pour savoir comment créer un rôle personnalisé, consultez la page Créer un rôle personnalisé.

Autorisations pour le chiffrement en transit

Le tableau ci-dessous présente les autorisations requises pour activer et gérer le chiffrement en transit pour Memorystore for Redis Cluster.

Autorisations nécessaires	Créer une instance Memorystore avec chiffrement en transit	Télécharger l'autorité de certification
`redis.clusters.create`	✓	X
`redis.clusters.get`	X	✓

Rôle de création de règles de connectivité réseau

Les autorisations décrites dans cette section sont nécessaires à l'administrateur réseau qui établit une règle de connexion de service pour Memorystore for Redis Cluster, comme décrit sur la page Mise en réseau.

Pour établir la règle requise pour la création d'un cluster Memorystore, l'administrateur réseau doit disposer du rôle networkconnectivity.googleapis.com/consumerNetworkAdmin, qui accorde les autorisations suivantes :

networkconnectivity.serviceconnectionpolicies.create
networkconnectivity.serviceconnectionpolicies.list
networkconnectivity.serviceconnectionpolicies.get
networkconnectivity.serviceconnectionpolicies.delete
networkconnectivity.serviceconnectionpolicies.update