O Memorystore fornece o recurso de autenticação do IAM que se integra ao Identity and Access Management (IAM) para ajudar você a gerenciar melhor o acesso de login para usuários e contas de serviço.
Autenticação é o processo de usar o IAM para verificar a identidade de um usuário que está tentando acessar um cluster. O Memorystore faz a verificação usando o comando Redis AUTH e os tokens de acesso do IAM.
Para instruções sobre como configurar a autenticação do IAM para o cluster do Memorystore, consulte Gerenciar autenticação do IAM.
Autenticação do IAM para Redis
Ao usar a autenticação do IAM, a permissão para acessar um cluster do Memorystore não é concedida diretamente ao usuário final. Em vez disso, as permissões são agrupadas em papéis, e os papéis são concedidos aos principais. Para mais informações, consulte a visão geral do IAM.
Os administradores que autenticam com o IAM podem usar a autenticação IAM do Memorystore para gerenciar centralmente o controle de acesso a suas instâncias usando políticas do IAM. As políticas do IAM envolvem as seguintes entidades:
Principais. No Memorystore, é possível usar dois tipos de principais: uma conta de usuário e uma conta de serviço (para aplicativos). Outros tipos principais, como grupos do Google, domínios do Google Workspace ou domínios do Cloud Identity, ainda não são compatíveis com a autenticação do IAM. Para mais informações, consulte Conceitos relacionados à identidade.
Papéis. Para a autenticação do Memorystore IAM, um usuário precisa da permissão redis.clusters.connect para se autenticar com um cluster. Para conseguir essa permissão, vincule o usuário ou a conta de serviço ao papel predefinido de Usuário de conexão do banco de dados do Redis do Redis (roles/rediscluster.dbConnectionUser). Para mais informações sobre os papéis do IAM, consulte Papéis.
Recursos. Os recursos que os principais acessam são clusters do Memorystore. Por padrão, as vinculações de política do IAM são aplicadas no nível do projeto, de modo que os principais recebem permissões de papel para todas as instâncias do Memorystore no projeto. No entanto, as vinculações de política do IAM podem ser restritas a um cluster específico. Para mais instruções, consulte Gerenciar permissões para a autenticação do IAM.
Comando Redis AUTH
O recurso Autenticação do IAM usa o comando Redis AUTH para se integrar ao IAM, permitindo que os clientes forneçam um token de acesso do IAM que será verificado pelo cluster do Memorystore antes de permitir o acesso aos dados.
Como todos os comandos, o comando AUTH é enviado descriptografado, a menos que a opção Em trânsito esteja ativada.
Para ver um exemplo da aparência do comando AUTH, consulte Como se conectar a um cluster do Redis que usa a autenticação do IAM.
Período do token de acesso do IAM
O token de acesso do IAM recuperado como parte da autenticação expira uma hora depois de ser recuperado por padrão. Como alternativa, defina o tempo de expiração do token de acesso ao Gerar o token de acesso. Um token válido precisa ser apresentado por meio do comando AUTH ao estabelecer uma nova conexão do Redis. Se o token tiver expirado, você precisará conseguir um novo token de acesso para estabelecer novas conexões.
Como encerrar uma conexão autenticada
Se você quiser encerrar a conexão, use o comando CLIENT KILL
do Redis. Para encontrar a conexão que você quer encerrar, primeiro execute CLIENT LIST
, que retorna conexões do cliente em ordem de idade. Em seguida, execute CLIENT KILL
para encerrar a conexão desejada.
Segurança e privacidade
A autenticação do IAM ajuda a garantir que o cluster do Redis só possa ser acessado por principais autorizados do IAM. A criptografia TLS não é fornecida, a menos que a Criptografia em trânsito esteja ativada. Por esse motivo, recomendamos que a criptografia em trânsito seja ativada ao usar a autenticação do IAM.