Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Authentifizierung verwalten

Auf dieser Seite finden Sie Anleitungen zu gängigen Aufgaben der IAM-Authentifizierungsfunktion für Memorystore for Redis Cluster. Weitere Informationen zu dieser Funktion finden Sie unter IAM-Authentifizierung.

Instanz mit IAM-Authentifizierung erstellen

Wenn Sie eine Memorystore for Redis Cluster-Instanz erstellen möchten, die die IAM-Authentifizierung verwendet, führen Sie den Befehl create aus:

gcloud redis clusters create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Ersetzen Sie Folgendes:

INSTANCE_ID ist die ID der Memorystore for Redis Cluster-Instanz, die Sie erstellen. Die Instanz-ID muss 1 bis 63 Zeichen lang sein und darf nur Kleinbuchstaben, Ziffern oder Bindestriche enthalten. Er muss mit einem Kleinbuchstaben beginnen und mit einem Kleinbuchstaben oder einer Ziffer enden.
REGION_ID ist die Region, in der sich die Instanz befinden soll.

Hinweis :Sie können Instanzen nur in den unterstützten Regionen für Memorystore for Redis Cluster erstellen. Nicht alle Regionen, die derzeit von Memorystore for Redis unterstützt werden, sind für Memorystore for Redis Cluster verfügbar. Mit dem Befehl gcloud redis regions list werden unterstützte Regionen für Memorystore for Redis angezeigt, nicht für Memorystore for Redis Cluster.
NETWORK ist das Netzwerk, das zum Erstellen der Instanz verwendet wurde. Er muss das Format projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID haben. Die hier verwendete Netzwerk-ID muss mit der Netzwerk-ID übereinstimmen, die von der Richtlinie für Dienstverbindungen verwendet wird. Andernfalls schlägt der Vorgang create fehl. Weitere Informationen finden Sie unter Netzwerk.
NODE_TYPE ist der von Ihnen ausgewählte Knotentyp. Zulässige Werte:
- redis-shared-core-nano
- redis-standard-small
- redis-highmem-medium
- redis-highmem-xlarge
Achtung: Wir empfehlen, den Knotentyp redis-shared-core-nano nur für Entwicklungs- oder Testzwecke zu verwenden. Wenn Sie Memorystore for Redis-Cluster in einer Produktionsumgebung ausführen, empfehlen wir die Verwendung der Knotentypen redis-standard-small, redis-highmem-medium oder redis-highmem-xlarge. Weitere Informationen zu diesen Knotentypen finden Sie unter Knotentyp auswählen.
SHARD_COUNT bestimmt die Anzahl der Shards in Ihrer Instanz. Die Anzahl der Shards bestimmt die Gesamtspeicherkapazität für das Speichern von Clusterdaten. Weitere Informationen zur Clusterspezifikation finden Sie unter Cluster- und Knotenspezifikation.

Berechtigungen für die IAM-Authentifizierung erteilen

Um IAM-Zugriff zu gewähren, weisen Sie dem Hauptkonto die Rolle roles/redis.dbConnectionUser zu. Folgen Sie dazu der Anleitung zum Zuweisen von IAM-Rollen.

Wenn Sie einem Hauptkonto die Rolle roles/redis.dbConnectionUser zuweisen, kann es standardmäßig auf alle Instanzen in Ihrem Projekt zugreifen.

Eingeschränkte IAM-Administratorrolle für eine Instanz erstellen

Möglicherweise möchten Sie eine Rolle erstellen, mit der IAM-Berechtigungen für Instanzverbindungen geändert werden können, ohne dass vollständiger IAM-Administratorzugriff gewährt wird. Dazu können Sie einen eingeschränkten IAM-Administrator für die Rolle roles/redis.dbConnectionUser` erstellen. Weitere Informationen finden Sie unter Eingeschränkte IAM-Administratoren erstellen.

Verbindung zu einer Instanz herstellen, die die IAM-Authentifizierung verwendet

Wenn Sie noch keine Compute Engine-VM haben, die dasselbe autorisierte Netzwerk wie Ihr Redis-Cluster verwendet, erstellen Sie eine VM und stellen Sie eine Verbindung zu ihr her: Folgen Sie dazu der Kurzanleitung: Linux-VM verwenden.
Aktivieren Sie für Ihr Projekt den Cloud Platform API-Bereich. Weitere Informationen zum Aktivieren dieses Zugriffsbereichs finden Sie unter Dienstkonto anhängen und Zugriffsbereich aktualisieren. Weitere Informationen zu Best Practices für diesen Bereich finden Sie unter Best Practices für Bereiche.
Aktivieren Sie die Memorystore for Redis API für Ihr Projekt.
Memorystore for Redis API
Installieren Sie redis-cli auf der Compute Engine-VM. Führen Sie dazu den folgenden Befehl im Compute Engine-SSH-Terminal aus:
```
sudo apt-get install redis-tools
```
Führen Sie den folgenden Befehl aus, um ein Zugriffstoken für Ihren IAM-Nutzer abzurufen:
```
gcloud auth print-access-token
```
Hinweis :Zugriffstokens laufen nach einer Stunde ab. Weitere Informationen finden Sie unter IAM-Zugriffstoken.
Stellen Sie eine Verbindung zum Discovery-Endpunkt Ihrer Instanz her:
```
redis-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Ersetzen Sie Folgendes:
- NETWORK_ADDRESS ist die Netzwerkadresse der Instanz. Informationen zum Aufrufen der Netzwerkadresse finden Sie unter Instanzinformationen ansehen.
- PORT ist die Portnummer der Instanz. Informationen zum Aufrufen der Portnummer finden Sie unter Instanzinformationen ansehen.
- ACCESS_TOKEN ist das IAM-Zugriffstoken, das in den vorherigen Schritten abgerufen wurde.
Hinweis :Authentifizierte Verbindungen sind 12 Stunden lang gültig. Weitere Informationen finden Sie unter Zeitrahmen für IAM-Zugriffstoken.
Führen Sie den Befehl CLUSTER SHARDS aus, um die Clustertopologie aufzurufen. Notieren Sie sich eine der IP-Adressen und Portnummern des Knotens.
Verwenden Sie den folgenden Befehl, um redis-cli zur Authentifizierung und Verbindung mit Ihrem Knoten zu verwenden:
```
redis-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
Ersetzen Sie Folgendes:
- NODE_IP_ADDRESS: die IP-Adresse des Knotens, die Sie im vorherigen Schritt ermittelt haben
- NODE_PORT: die Portnummer des Knotens, die Sie im vorherigen Schritt ermittelt haben
- ACCESS_TOKEN: Das IAM-Zugriffstoken, das Sie in den vorherigen Schritten abgerufen haben.
Hinweis :Authentifizierte Verbindungen sind 12 Stunden lang gültig. Weitere Informationen finden Sie unter Zeitrahmen für IAM-Zugriffstoken.
Führen Sie einen Redis-Befehl SET und GET aus, um zu prüfen, ob eine authentifizierte Verbindung zu Ihrem Knoten hergestellt wurde.
Löschen Sie die Compute Engine-VM, mit der Sie eine Verbindung zum Redis-Cluster hergestellt haben. Dadurch vermeiden Sie, dass Ihrem Cloud-Rechnungskonto Gebühren berechnet werden.

Abrufen von Zugriffstokens automatisieren

Optional: Wenn Sie noch kein Dienstkonto für Ihre Anwendung haben, erstellen Sie eines (siehe Dienstkonto erstellen und verwalten).
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Ersetzen Sie Folgendes:
- SA_NAME ist der Name des Dienstkontos.
- DESCRIPTION ist eine optionale Beschreibung des Dienstkontos.
- DISPLAY_NAME ist ein Dienstkontoname, der in derGoogle Cloud Console angezeigt werden soll.
Gewähren Sie Ihrem Dienstkonto die Berechtigung redis.dbConnectionUser für Ihr Projekt.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role="ROLE_NAME"
```
Ersetzen Sie Folgendes:
- PROJECT_ID: die Projekt-ID
- SA_NAME: der Name des Dienstkontos
- ROLE_NAME: ein Rollenname, z. B. redis.dbConnectionUser
Authentifizieren Sie Ihre Anwendung als das angegebene Dienstkonto. Weitere Informationen finden Sie unter Dienstkonten.

Codebeispiel für die Verbindung zu einer Instanz, die die IAM-Authentifizierung verwendet

Codebeispiel für die Authentifizierung Ihrer Anwendung mit beliebten Clientbibliotheken. Außerdem erfahren Sie, wie Sie dieses Codebeispiel verwenden, um eine Verbindung zu einer Instanz herzustellen, die die IAM-Authentifizierung verwendet.

Fehlermeldungen bei der IAM-Authentifizierung beheben

Fehlermeldung	Empfohlene Maßnahmen	Beschreibung
`-WRONGPASS invalid username-password pair or user is disabled`	Prüfen Sie den Nutzernamen und das Zugriffstoken, die dem Memorystore for Redis Cluster-Server bereitgestellt wurden.	Der angegebene Nutzername oder das angegebene Zugriffstoken ist ungültig. „default“ ist der einzige unterstützte Nutzername. Wenn Ihre Anwendung bereits den Standardnutzernamen verwendet, prüfen Sie, ob das Zugriffstoken abgelaufen ist und ob es gemäß der Anleitung unter Verbindung zu einer Instanz herstellen, die die IAM-Authentifizierung verwendet abgerufen wurde. Es kann einige Minuten dauern, bis IAM-Berechtigungen wirksam werden, wenn sie vor Kurzem geändert wurden.
`-NOAUTH Authentication required`	Prüfen Sie, ob die Anwendung so konfiguriert ist, dass sie ein IAM-Zugriffstoken für den Memorystore for Redis-Cluster-Server bereitstellt.	Die Anwendung stellt kein Zugriffstoken für den Memorystore for Redis-Cluster-Server bereit. Prüfen Sie, ob die Anwendung so konfiguriert ist, dass ein Zugriffstoken bereitgestellt wird. Folgen Sie dazu der Anleitung unter Verbindung zu einer Instanz herstellen, die die IAM-Authentifizierung verwendet.
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Mit exponentiellem Backoff wiederholen.	Das IAM-Backend ist überlastet und hat dem Memorystore for Redis Cluster-Server einen Fehler vom Typ „Kontingent überschritten“ zurückgegeben. Anwendungen sollten versuchen, diesen Fehler mit exponentiellem Backoff zu wiederholen, um weitere Verbindungsfehler zu vermeiden.
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Mit exponentiellem Backoff wiederholen.	Das IAM-Backend hat einen vorübergehenden Fehler an den Memorystore for Redis Cluster-Server zurückgegeben. Anwendungen sollten versuchen, diesen Fehler mit exponentiellem Backoff zu wiederholen, um weitere Verbindungsfehler zu vermeiden.