Memorystore offre la funzionalità di autenticazione IAM che si integra con Identity and Access Management (IAM) per aiutarti a gestire meglio l'accesso di accesso per gli utenti e gli account di servizio.
L'autenticazione è il processo di utilizzo di IAM per verificare l'identità di un utente che sta tentando di accedere a un cluster. Memorystore esegue la verifica utilizzando il comando Redis AUTH e i token di accesso IAM.
Per istruzioni sulla configurazione dell'autenticazione IAM per il cluster Memorystore, consulta Gestire l'autenticazione IAM.
Autenticazione IAM per Redis
Quando si utilizza l'autenticazione IAM, l'autorizzazione ad accedere a un cluster Memorystore non viene concessa direttamente all'utente finale. Invece, le autorizzazioni sono raggruppate in ruoli e i ruoli vengono concessi alle entità. Per ulteriori informazioni, consulta la panoramica IAM.
Gli amministratori che si autenticano con IAM possono utilizzare l'autenticazione IAM di Memorystore per gestire centralmente il controllo dell'accesso dell'accesso alle proprie istanze utilizzando i criteri IAM. I criteri IAM riguardano le seguenti entità:
Entità. In Memorystore, puoi utilizzare due tipi di entità: un account utente e un account di servizio (per le applicazioni). L'autenticazione IAM non è ancora supportata per altri tipi di entità, come i gruppi Google, i domini Google Workspace o Cloud Identity. Per saperne di più, consulta Concetti relativi all'identità.
Ruoli. Per l'autenticazione IAM di Memorystore, un utente richiede l'autorizzazione redis.clusters.connect per autenticarsi con un cluster. Per ottenere questa autorizzazione, puoi associare l'account utente o di servizio al ruolo Utente connessione Redis Database DB predefinito (roles/rediscluster.dbConnectionUser). Per ulteriori informazioni sui ruoli IAM, consulta la sezione Ruoli.
Risorse. Le risorse a cui accedono le entità sono cluster Memorystore. Per impostazione predefinita, le associazioni di criteri IAM vengono applicate a livello di progetto in modo che le entità ricevano le autorizzazioni dei ruoli per tutte le istanze Memorystore del progetto. Tuttavia, le associazioni di criteri IAM possono essere limitate a un cluster specifico. Per le istruzioni, consulta la pagina Gestire le autorizzazioni per l'autenticazione IAM.
Comando AUTH Redis
La funzionalità di autenticazione IAM utilizza il comando Redis AUTH per l'integrazione con IAM, consentendo ai client di fornire un token di accesso IAM che verrà verificato dal cluster Memorystore prima di consentire l'accesso ai dati.
Come per ogni comando, il comando AUTH viene inviato non criptato a meno che non sia abilitata la crittografia in transito.
Per un esempio di aspetto del comando AUTH, vedi Connessione a un cluster Redis che utilizza l'autenticazione IAM.
Periodo di tempo del token di accesso IAM
Il token di accesso IAM che recuperi come parte dell'autenticazione scade un'ora dopo il recupero per impostazione predefinita. In alternativa, puoi definire la scadenza del token di accesso al momento della generazione del token di accesso. Quando si stabilisce una nuova connessione Redis è necessario presentare un token valido tramite il comando AUTH. Se il token è scaduto, dovrai crearne uno nuovo per stabilire nuove connessioni.
Terminare una connessione autenticata
Se vuoi terminare la connessione, puoi farlo utilizzando il comando Redis CLIENT KILL
. Per trovare la connessione che vuoi terminare, prima esegui CLIENT LIST
, che restituisce le connessioni client in base all'età. Puoi quindi eseguire CLIENT KILL
per terminare la connessione desiderata.
Sicurezza e privacy
L'autenticazione IAM consente di garantire che il cluster Redis sia accessibile solo alle entità IAM autorizzate. La crittografia TLS non viene fornita a meno che non sia abilitata la crittografia in transito. Per questo motivo, è consigliabile attivare la crittografia in transito quando si utilizza l'autenticazione IAM.