בדף הזה מוסבר על התפקידים בניהול הזהויות והרשאות הגישה (IAM) שזמינים ל-Memorystore for Redis Cluster, ועל ההרשאות שמשויכות לתפקידים האלה. ב-Memorystore for Redis Cluster וב-Memorystore for Redis נעשה שימוש באותם תפקידים ב-IAM. בדף הזה מפורטות ההרשאות שהתפקידים האלה מעניקים ל-Memorystore for Redis Cluster. ההרשאות שהתפקידים האלה מעניקים ל-Memorystore for Redis מפורטות בדף בקרת גישה ל-Memorystore for Redis. למרות שההרשאות מפורטות בנפרד בשני הדפים, התפקידים מעניקים הרשאות גם ל-Memorystore for Redis Cluster וגם ל-Memorystore for Redis.
ב-Memorystore for Redis Cluster נעשה שימוש במבנה שונה של שמות הרשאות מאשר ב-Memorystore for Redis:
- מכונות Memorystore for Redis Cluster משתמשות ב-
redis.clusters.[PERMISSION]. - מכונות של Memorystore for Redis משתמשות ב-
redis.instances.[PERMISSION].
למידע נוסף על תפקיד האדמין של Redis, אפשר לעיין במאמר בנושא תפקידים מוגדרים מראש.
במאמר איך נותנים או מבטלים תפקידים בודדים מוסבר איך נותנים תפקיד למשתמש בפרויקט.
תפקידים מוגדרים מראש
התפקידים המוגדרים מראש הבאים זמינים ב-Memorystore for Redis Cluster. אם מעדכנים תפקיד של חשבון משתמש במערכת לניהול הזהויות והרשאות הגישה, חולפות כמה דקות עד שהשינוי נכנס לתוקף.
| תפקיד | שם | הרשאות Redis | תיאור |
|---|---|---|---|
|
בעלים |
|
גישה ושליטה מלאה בכל המשאבים; ניהול גישת המשתמשים Google Cloud |
|
עריכה | כל ההרשאות של redis, מלבד *.getIamPolicy ו-.setIamPolicy |
הרשאת קריאה וכתיבה לכל המשאבים של Google Cloud ו-Redis (שליטה מלאה, למעט היכולת לשנות הרשאות) |
|
צפייה |
|
הרשאת קריאה בלבד לכל המשאבים של Memorystore for Redis Cluster. עם זאת, אי אפשר להשתמש בהרשאה הזו כדי להציג נתונים שמשויכים למשאבים. |
|
Redis Admin |
|
גישה מלאה לכל המשאבים של Memorystore for Redis Cluster. |
|
עורך Redis | כל ההרשאות של redis מלבד
|
ניהול מכונות של Memorystore for Redis Cluster. אי אפשר ליצור או למחוק מופעים. |
|
Redis Viewer | כל ההרשאות של redis מלבד
|
הרשאת קריאה בלבד לכל המשאבים של Memorystore for Redis Cluster. |
|
משתמש בחיבור למסד נתונים של Redis |
|
תפקיד שאפשר להקצות למשתמשים שצריכים לבצע אימות באמצעות אימות IAM. |
הרשאות והתפקידים שלהן
בטבלה הבאה מפורטות כל ההרשאות שנתמכות ב-Memorystore for Redis Cluster והתפקידים ב-Memorystore for Redis שכוללים אותן:
| הרשאה | תפקיד Redis | תפקיד בסיסי |
|---|---|---|
|
Redis Admin Redis Editor Redis Viewer |
צפייה |
|
Redis Admin Redis Editor Redis Viewer |
צפייה |
|
Redis Admin | בעלים |
|
Redis Admin Redis Editor |
עריכה |
|
אדמין של Redis משתמש עם הרשאת חיבור למסד נתונים של Redis |
בעלים |
|
Redis Admin | בעלים |
תפקידים בהתאמה אישית
אם התפקידים המוגדרים מראש לא עונים על הדרישות העסקיות הייחודיות שלכם, אתם יכולים להגדיר תפקידים בהתאמה אישית עם הרשאות שאתם מציינים. כדי לתמוך בכך, IAM כולל אפשרות של תפקידים בהתאמה אישית. כשיוצרים תפקידים בהתאמה אישית ל-Memorystore for Redis Cluster, חשוב לוודא שכוללים את resourcemanager.projects.get וגם את resourcemanager.projects.list.
אחרת, Google Cloud המסוף לא יפעל כמו שצריך
ב-Memorystore for Redis Cluster. מידע נוסף זמין במאמר בנושא תלות בהרשאות.
במאמר יצירת תפקיד בהתאמה אישית מוסבר איך יוצרים תפקיד בהתאמה אישית.
הרשאות הצפנה בזמן ההעברה
בטבלה הבאה מפורטות ההרשאות שנדרשות להפעלה ולניהול של הצפנה במעבר ב-Memorystore for Redis Cluster.
| נדרשות הרשאות | יצירת מופע Memorystore עם הצפנה במעבר | הורדת רשות האישורים |
|---|---|---|
redis.clusters.create
|
✓ | X |
redis.clusters.get
|
X | ✓ |
תפקיד יצירת מדיניות לקישוריות לרשת
ההרשאות שמתוארות בקטע הזה נדרשות לאדמין הרשת שמגדיר מדיניות של חיבור לשירות עבור Memorystore for Redis Cluster, כמו שמתואר בדף Networking.
כדי להגדיר את המדיניות שנדרשת ליצירת אשכול Memorystore, לאדמין הרשת צריך להיות תפקיד networkconnectivity.googleapis.com/consumerNetworkAdmin עם ההרשאות הבאות:
- networkconnectivity.serviceconnectionpolicies.create
- networkconnectivity.serviceconnectionpolicies.list
- networkconnectivity.serviceconnectionpolicies.get
- networkconnectivity.serviceconnectionpolicies.delete
- networkconnectivity.serviceconnectionpolicies.update