Memorystore fournit la fonctionnalité d'authentification IAM qui s'intègre à Identity and Access Management (IAM) pour vous aider à mieux gérer l'accès à la connexion pour les utilisateurs et les comptes de service.
L'authentification est le processus qui consiste à utiliser IAM pour vérifier l'identité d'un utilisateur qui tente d'accéder à un cluster. Memorystore effectue la vérification à l'aide de la commande AUTH de Redis et des jetons d'accès IAM.
Pour savoir comment configurer l'authentification IAM pour votre cluster Memorystore, consultez Gérer l'authentification IAM.
Authentification IAM pour Redis
Lorsque vous utilisez l'authentification IAM, l'autorisation d'accéder à un cluster Memorystore n'est pas accordée directement à l'utilisateur final. À la place, les autorisations sont regroupées par rôles, et les rôles sont attribués aux comptes principaux. Pour en savoir plus, consultez la présentation d'IAM.
Les administrateurs qui s'authentifient avec IAM peuvent utiliser l'authentification IAM pour Memorystore pour gérer de manière centralisée le contrôle des accès à leurs instances à l'aide de stratégies IAM. Les stratégies IAM impliquent les entités suivantes:
Comptes principaux. Dans Memorystore, vous pouvez utiliser deux types de comptes principaux : un compte utilisateur et un compte de service (pour les applications). Les autres types de comptes principaux, tels que les groupes Google, les domaines Google Workspace et les domaines Cloud Identity, ne sont pas encore compatibles avec l'authentification IAM. Pour en savoir plus, consultez la page Concepts liés à l'identité.
Rôles Pour l'authentification IAM Memorystore, un utilisateur a besoin de l'autorisation redis.clusters.connect pour s'authentifier auprès d'un cluster. Pour obtenir cette autorisation, vous pouvez lier l'utilisateur ou le compte de service au rôle prédéfini d'utilisateur de connexion de la base de données du cluster Redis (roles/rediscluster.dbConnectionUser). Pour en savoir plus sur les rôles IAM, consultez la page Rôles.
Ressources. Les ressources auxquelles les comptes principaux ont accès sont des clusters Memorystore. Par défaut, les liaisons de stratégie IAM sont appliquées au niveau du projet, de sorte que les comptes principaux reçoivent des autorisations de rôle pour toutes les instances Memorystore du projet. Toutefois, les liaisons de stratégie IAM peuvent être limitées à un cluster particulier. Pour obtenir des instructions, consultez la page Gérer les autorisations pour l'authentification IAM.
Commande Redis AUTH
La fonctionnalité d'authentification IAM utilise la commande AUTH de Redis pour s'intégrer à IAM, ce qui permet aux clients de fournir un jeton d'accès IAM qui sera validé par le cluster Memorystore avant d'autoriser l'accès aux données.
Comme toutes les commandes, la commande AUTH est envoyée non chiffrée, sauf si le chiffrement en transit est activé.
Pour obtenir un exemple de commande AUTH, consultez Se connecter à un cluster Redis utilisant l'authentification IAM.
Période du jeton d'accès IAM
Le jeton d'accès IAM que vous récupérez lors de l'authentification expire par défaut une heure après sa récupération par défaut. Vous pouvez également définir le délai d'expiration du jeton d'accès lors de la génération du jeton d'accès. Un jeton valide doit être présenté via la commande AUTH lors de l'établissement d'une nouvelle connexion Redis. Si le jeton a expiré, vous devez en obtenir un nouveau pour établir de nouvelles connexions.
Désactiver une connexion authentifiée
Si vous souhaitez interrompre la connexion, vous pouvez le faire à l'aide de la commande Redis CLIENT KILL. Pour trouver la connexion que vous souhaitez interrompre, exécutez d'abord CLIENT LIST, qui renvoie les connexions client par ordre d'âge. Vous pouvez ensuite exécuter CLIENT KILL pour mettre fin à la connexion souhaitée.
Sécurité et confidentialité
L'authentification IAM vous permet de vous assurer que votre cluster Redis n'est accessible qu'aux comptes principaux IAM autorisés. Le chiffrement TLS n'est fourni que si le chiffrement en transit est activé. Pour cette raison, il est recommandé d'activer le chiffrement en transit lorsque vous utilisez l'authentification IAM.