Cette page a été traduite par l'API Cloud Translation.

Gérer l'authentification IAM

Cette page fournit des instructions sur les tâches courantes de la fonctionnalité d'authentification IAM pour Memorystore pour Redis Cluster. Pour en savoir plus sur cette fonctionnalité, consultez À propos de l'authentification IAM.

Créer une instance avec l'authentification IAM

Pour créer une instance Memorystore pour Redis Cluster qui utilise l'authentification IAM, exécutez la commande create :

gcloud redis clusters create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Remplacez les éléments suivants :

INSTANCE_ID est l'ID de l'instance Memorystore pour Redis Cluster que vous créez. L'ID d'instance doit comporter entre 1 et 63 caractères (lettres minuscules, chiffres ou traits d'union). Il doit commencer par une lettre minuscule et se terminer par une lettre minuscule ou un chiffre.
REGION_ID est la région dans laquelle vous souhaitez placer l'instance.

Remarque : Vous ne pouvez créer des instances que dans les régions compatibles avec Memorystore pour Redis Cluster. Toutes les régions actuellement compatibles avec Memorystore pour Redis ne le sont pas avec Memorystore pour Redis Cluster. Les commandes gcloud redis regions list affichent les régions compatibles avec Memorystore pour Redis, et non avec Memorystore pour Redis Cluster.
NETWORK est le réseau utilisé pour créer votre instance. Il doit utiliser le format suivant : projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. L'ID de réseau utilisé ici doit correspondre à celui utilisé par la règle de connexion au service. Sinon, l'opération create échoue. Pour en savoir plus, consultez la section Mise en réseau.
NODE_TYPE est le type de nœud choisi. Les valeurs acceptées sont les suivantes :
- redis-shared-core-nano
- redis-standard-small
- redis-highmem-medium
- redis-highmem-xlarge
Attention : Nous vous recommandons d'utiliser le type de nœud redis-shared-core-nano uniquement à des fins de développement ou de test. Si vous exécutez Memorystore pour Redis Cluster dans un environnement de production, nous vous recommandons d'utiliser les types de nœuds redis-standard-small, redis-highmem-medium ou redis-highmem-xlarge. Pour en savoir plus sur ces types de nœuds, consultez Choisir un type de nœud.
SHARD_COUNT détermine le nombre de segments dans votre instance. Le nombre de partitions détermine la capacité de mémoire totale pour stocker les données du cluster. Pour en savoir plus sur la spécification du cluster, consultez Spécification du cluster et des nœuds.

Accorder des autorisations pour l'authentification IAM

Pour accorder un accès IAM, attribuez le rôle roles/redis.dbConnectionUser au compte principal en suivant les instructions pour attribuer un rôle IAM.

Par défaut, l'attribution du rôle roles/redis.dbConnectionUser à un compte principal lui permet d'accéder à toutes les instances de votre projet.

Créer un rôle d'administrateur IAM limité pour une instance

Vous pouvez créer un rôle qui peut modifier les autorisations IAM de connexion à une instance sans accorder un accès complet à l'administrateur IAM. Pour ce faire, créez un administrateur IAM limité pour le rôle roles/redis.dbConnectionUser. Pour en savoir plus, consultez Créer des administrateurs IAM limités.

Se connecter à une instance qui utilise l'authentification IAM

Si vous ne disposez pas encore d'une VM Compute Engine utilisant le même réseau autorisé que votre cluster Redis, créez-en une et connectez-vous en suivant les instructions de la page Démarrage rapide à l'aide d'une VM Linux.
Activez le champ d'application de l'API Cloud Platform pour votre projet. Pour en savoir plus sur l'activation de ce niveau d'accès d'accès, consultez Associer le compte de service et mettre à jour le niveau d'accès. Pour en savoir plus sur les bonnes pratiques concernant ce champ d'application, consultez Bonnes pratiques concernant les champs d'application.
Activez l'API Memorystore pour Redis pour votre projet.
API Memorystore pour Redis
Installez redis-cli sur la VM Compute Engine en exécutant la commande suivante à partir du terminal SSH de Compute Engine :
```
sudo apt-get install redis-tools
```
Exécutez la commande suivante pour obtenir un jeton d'accès pour votre utilisateur IAM :
```
gcloud auth print-access-token
```
Remarque : Les jetons d'accès expirent au bout d'une heure. Pour en savoir plus, consultez Période de validité des jetons d'accès IAM.
Connectez-vous au point de terminaison de détection de votre instance :
```
redis-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Remplacez les éléments suivants :
- NETWORK_ADDRESS est l'adresse réseau de l'instance. Pour afficher l'adresse réseau, consultez Afficher les informations sur l'instance.
- PORT est le numéro de port des instances. Pour afficher le numéro de port, consultez Afficher les informations sur l'instance.
- ACCESS_TOKEN correspond au jeton d'accès IAM récupéré lors des étapes précédentes.
Remarque : Les connexions authentifiées sont valides pendant 12 heures. Pour en savoir plus, consultez Période de validité des jetons d'accès IAM.
Exécutez la commande CLUSTER SHARDS pour afficher la topologie de votre cluster. Notez l'une des adresses IP et l'un des numéros de port du nœud.
Pour utiliser redis-cli afin de vous authentifier et de vous connecter à votre nœud, utilisez la commande suivante :
```
redis-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
Remplacez les éléments suivants :
- NODE_IP_ADDRESS : adresse IP du nœud que vous avez trouvée à l'étape précédente
- NODE_PORT : numéro de port du nœud que vous avez trouvé à l'étape précédente
- ACCESS_TOKEN : jeton d'accès IAM que vous avez récupéré lors des étapes précédentes
Remarque : Les connexions authentifiées sont valides pendant 12 heures. Pour en savoir plus, consultez Période de validité des jetons d'accès IAM.
Pour vérifier que vous disposez d'une connexion authentifiée à votre nœud, exécutez une commande Redis SET et GET.
Supprimez la VM Compute Engine que vous avez utilisée pour vous connecter au cluster Redis. Vous éviterez ainsi que des frais soient facturés sur votre compte de facturation Cloud.

Automatiser la récupération des jetons d'accès

(Facultatif) Si vous ne l'avez pas déjà fait, créez un compte de service pour votre application (consultez Créer et gérer un compte de service).
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Remplacez les éléments suivants :
- SA_NAME correspond au nom du compte de service.
- DESCRIPTION est une description facultative du compte de service.
- DISPLAY_NAME est le nom du compte de service à afficher dans la consoleGoogle Cloud .
Accordez à votre compte de service l'autorisation redis.dbConnectionUser sur votre projet.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role="ROLE_NAME"
```
Remplacez les éléments suivants :
- PROJECT_ID : ID du projet
- SA_NAME : nom du compte de service.
- ROLE_NAME : nom de rôle, par exemple redis.dbConnectionUser.
Authentifiez votre application en tant que compte de service donné. Pour en savoir plus, consultez Comptes de service.

Exemple de code pour se connecter à une instance qui utilise l'authentification IAM

Vous pouvez consulter un exemple de code qui vous montre comment authentifier votre application à l'aide de bibliothèques clientes populaires. Vous pouvez également découvrir comment utiliser cet exemple de code pour vous connecter à une instance qui utilise l'authentification IAM.

Résoudre les messages d'erreur avec l'authentification IAM

Message d'erreur	Action recommandée	Description
`-WRONGPASS invalid username-password pair or user is disabled`	Vérifiez le nom d'utilisateur et le jeton d'accès fournis au serveur Memorystore for Redis Cluster.	Le nom d'utilisateur ou le jeton d'accès fourni n'est pas valide. "default" est le seul nom d'utilisateur accepté. Si votre application utilise déjà le nom d'utilisateur "par défaut", vérifiez que le jeton d'accès n'a pas expiré et qu'il est récupéré en suivant les instructions de la section Se connecter à une instance qui utilise l'authentification IAM. Si vous avez modifié récemment vos autorisations IAM, la propagation peut prendre quelques minutes.
`-NOAUTH Authentication required`	Vérifiez que l'application est configurée pour fournir un jeton d'accès IAM au serveur Memorystore pour Redis Cluster.	L'application ne fournit pas de jeton d'accès au serveur Memorystore for Redis Cluster. Vérifiez que l'application est configurée pour fournir un jeton d'accès en suivant les instructions de la section Se connecter à une instance qui utilise l'authentification IAM.
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Réessayer avec un intervalle exponentiel entre les tentatives	Le backend IAM est surchargé et a renvoyé une erreur de quota dépassé au serveur Memorystore Cluster pour Redis. Les applications doivent tenter de relancer cette erreur avec un intervalle exponentiel entre les tentatives pour éviter d'autres échecs de connexion.
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Réessayer avec un intervalle exponentiel entre les tentatives	Le backend IAM a renvoyé une erreur temporaire au serveur Memorystore for Redis Cluster. Les applications doivent tenter de relancer cette erreur avec un intervalle exponentiel entre les tentatives pour éviter d'autres échecs de connexion.