이 페이지는 Cloud Translation API를 통해 번역되었습니다.

IAM 인증 정보

Memorystore는 IAM을 활용하는 Identity and Access Management (IAM) 인증 기능을 제공하여 사용자 및 서비스 계정의 로그인 액세스를 보다 효과적으로 관리하는 데 도움이 됩니다. IAM 기반 인증은 Redis AUTH와 통합되어 정적 비밀번호를 사용하지 않고도 사용자 인증 정보 (IAM 토큰)를 원활하게 순환할 수 있습니다.

Memorystore 클러스터의 IAM 인증 설정에 관한 안내는 IAM 인증 관리를 참고하세요.

Redis용 IAM 인증

IAM 인증을 사용하는 경우 Memorystore 클러스터에 액세스할 수 있는 권한은 최종 사용자에게 직접 부여되지 않습니다. 대신 권한이 역할로 그룹화되고 역할은 주 구성원에게 부여됩니다. 자세한 내용은 IAM 개요를 참조하세요.

IAM으로 인증하는 관리자는 Memorystore IAM 인증을 사용하여 IAM 정책을 통해 인스턴스에 대한 액세스 제어를 중앙에서 관리할 수 있습니다. IAM 정책에는 다음 항목이 포함됩니다.

주 구성원. Memorystore에서는 사용자 계정과 서비스 계정(애플리케이션용) 등 두 가지 유형의 주 구성원을 사용할 수 있습니다. Google 그룹스, Google Workspace 도메인 또는 Cloud ID 도메인과 같은 다른 주 구성원 유형은 아직 IAM 인증에서 지원되지 않습니다. 자세한 내용은 ID와 관련된 개념을 참조하세요.
역할. Memorystore IAM 인증의 경우 클러스터에 인증하려면 사용자에게 redis.clusters.connect 권한이 필요합니다. 이 권한을 얻으려면 사용자 또는 서비스 계정을 사전 정의된 Redis 클러스터 DB 연결 사용자(roles/redis.dbConnectionUser) 역할에 바인딩합니다. IAM 역할에 대한 자세한 내용은 역할을 참조하세요.
리소스. 주 구성원이 액세스하는 리소스는 Memorystore 클러스터입니다. 기본적으로 IAM 정책 바인딩은 프로젝트 수준에서 적용되므로 주 구성원이 프로젝트의 모든 Memorystore 인스턴스에 대한 역할 권한을 받습니다. 하지만 IAM 정책 바인딩을 특정 클러스터로 제한할 수 있습니다. 자세한 내용은 IAM 인증 권한 관리를 참고하세요.

Redis AUTH 명령어

IAM 인증 기능은 Redis AUTH 명령어를 사용하여 IAM과 통합됩니다. 이를 통해 데이터에 대한 액세스를 허용하기 전에 클라이언트가 Memorystore 클러스터에서 확인할 IAM 액세스 토큰을 제공할 수 있습니다.

모든 명령어와 마찬가지로 전송 중인 데이터 암호화가 사용 설정되어 있지 않는 한 AUTH 명령어는 암호화되지 않은 상태로 전송됩니다.

AUTH 명령어가 어떻게 표시되는지 예시를 보려면 IAM 인증을 사용하는 Redis 클러스터에 연결을 참고하세요.

IAM 액세스 토큰 기간

인증의 일부로 가져오는 IAM 액세스 토큰은 기본적으로 가져오고 1시간 후에 만료됩니다. 또는 액세스 토큰을 생성할 때 액세스 토큰 만료 시간을 정의할 수 있습니다.

새 Redis 연결을 설정할 때는 AUTH 명령어를 사용하여 유효한 액세스 토큰을 제시해야 합니다. 토큰이 만료되면 새 연결을 설정하기 위해 새 토큰을 가져와야 합니다. 하지만 기존 연결을 이미 인증한 경우 토큰이 만료되더라도 계속 작동합니다.

인증된 연결 종료

연결을 종료하려면 Redis CLIENT KILL 명령어를 사용합니다. 종료할 연결을 찾으려면 먼저 클라이언트 연결을 오래된 순으로 반환하는 CLIENT LIST를 실행합니다. 그런 다음 CLIENT KILL을 실행하여 연결을 종료할 수 있습니다.

IAM 인증 사용 설정

IAM 인증을 사용 설정해도 정상 상태 성능이 저하되지 않습니다. 하지만 연결을 설정할 수 있는 속도에는 영향을 미칩니다.

IAM 인증을 사용 설정하면 매초 설정되는 클라이언트 연결 속도가 제한됩니다. 이는 Google Cloud의 IAM 인증이 새 연결마다 인증해야 하기 때문입니다. 정상 상태에서 애플리케이션은 연결 풀을 사용 설정하므로 이 영향은 미미합니다. 하지만 배포 또는 바운스 처리를 통해 클라이언트 애플리케이션이 새로고침되면 다시 설정된 연결이 급증할 수 있습니다. 클라이언트를 점진적으로 업데이트하고 지수 백오프를 구현하면 이 감소된 비율을 흡수할 수 있습니다.

IAM 인증 사용 방법에 관한 코드 샘플을 보려면 IAM 인증 및 전송 중인 데이터 암호화 코드 샘플을 참고하세요.

보안 및 개인 정보 보호

IAM 인증을 사용하면 승인된 IAM 주 구성원만 Redis 클러스터에 액세스하도록 할 수 있습니다. 전송 중인 데이터 암호화가 사용 설정되지 않은 한 TLS 암호화가 제공되지 않습니다. 따라서 IAM 인증을 사용할 때는 전송 중 암호화를 사용 설정하는 것이 좋습니다.

Compute Engine VM으로 연결

Compute Engine VM을 사용하여 IAM 인증을 사용하는 인스턴스에 연결하는 경우 프로젝트에 다음 액세스 범위와 API를 사용 설정해야 합니다.

Cloud Platform API 범위. 이 범위를 사용 설정하는 방법은 서비스 계정 연결 및 액세스 범위 업데이트를 참고하세요. 이 액세스 범위의 권장사항에 대한 설명은 범위 권장사항을 참고하세요.
Memorystore for Redis Cluster API API를 사용 설정하는 링크는 다음 버튼을 클릭하세요.
Redis용 Memorystore 클러스터