Memorystore proporciona la función de autenticación de IAM que se integra en Identity and Access Management (IAM) a fin de ayudarte a administrar mejor el acceso de los usuarios y las cuentas de servicio.
La autenticación es el proceso de usar IAM para verificar la identidad de un usuario que intenta acceder a un clúster. Memorystore realiza la verificación con el comando AUTH de Redis y los tokens de acceso de IAM.
Si quieres obtener instrucciones para configurar la autenticación de IAM en el clúster de Memorystore, consulta Administra la autenticación de IAM.
Autenticación de IAM para Redis
Cuando usas la autenticación de IAM, el permiso para acceder a un clúster de Memorystore no se otorga directamente al usuario final. En cambio, los permisos se agrupan en roles y las funciones se otorgan a las principales. Para obtener más información, consulta la descripción general de IAM.
Los administradores que se autentican con IAM pueden usar la autenticación de IAM de Memorystore para administrar de forma centralizada el control de acceso a sus instancias mediante políticas de IAM. Las políticas de IAM involucran las siguientes entidades:
Principales En Memorystore, puedes usar dos tipos de principales: una cuenta de usuario y una de servicio (para aplicaciones). Otros tipos principales, como Grupos de Google, dominios de Google Workspace o dominios de Cloud Identity, aún no son compatibles con la autenticación de IAM. Para obtener más información, consulta Conceptos relacionados con la identidad.
Funciones. Para la autenticación de IAM de Memorystore, un usuario necesita el permiso redis.clusters.connect a fin de autenticarse con un clúster. Para obtener este permiso, puedes vincular el usuario o la cuenta de servicio a la función predefinida Usuario de conexión de base de datos del clúster de Redis (roles/rediscluster.dbConnectionUser). Para obtener más información sobre las funciones de IAM, consulta Funciones.
Recursos Los recursos a los que acceden las principales son clústeres de Memorystore. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que las principales reciban permisos de función para todas las instancias de Memorystore en el proyecto. Sin embargo, las vinculaciones de políticas de IAM se pueden restringir a un clúster en particular. Si quieres obtener instrucciones, consulta Administra los permisos para la autenticación de IAM.
Comando AUTH de Redis
La función de autenticación de IAM usa el comando AUTH de Redis para integrarse en IAM, lo que permite que los clientes proporcionen un token de acceso de IAM que verificará el clúster de Memorystore antes de permitir el acceso a los datos.
Al igual que todos los comandos, el comando AUTH se envía sin encriptar, a menos que la encriptación en tránsito esté habilitada.
Para ver un ejemplo de cómo puede verse el comando AUTH, consulta Conéctate a un clúster de Redis que usa la autenticación de IAM.
Período de token de acceso de IAM
El token de acceso de IAM que recuperas como parte de la autenticación vence 1 hora después de que se recupera de forma predeterminada. También puedes definir el tiempo de vencimiento del token de acceso cuando generas el token de acceso. Se debe presentar un token válido a través del comando AUTH cuando se establece una nueva conexión de Redis. Si el token venció, deberás obtener un nuevo token de acceso para establecer conexiones nuevas.
Finaliza una conexión autenticada
Si deseas finalizar la conexión, puedes hacerlo mediante el comando CLIENT KILL
de Redis. Para encontrar la conexión que deseas finalizar, primero ejecuta CLIENT LIST
, que muestra las conexiones del cliente en orden de antigüedad. Luego, puedes ejecutar CLIENT KILL
para finalizar la conexión deseada.
Seguridad y privacidad
La autenticación de IAM te ayuda a garantizar que solo las principales de IAM autorizadas puedan acceder a tu clúster de Redis. La encriptación TLS no se proporciona a menos que la encriptación en tránsito esté habilitada. Por este motivo, se recomienda que la encriptación en tránsito esté activada cuando se usa la autenticación de IAM.