Se usó la API de Cloud Translation para traducir esta página.

Administra la autenticación de IAM

En esta página, se proporcionan instrucciones sobre las tareas comunes de la función de autenticación de IAM para Memorystore para Redis Cluster. Para obtener más detalles sobre la función, consulta Acerca de la autenticación de IAM.

Crea una instancia con autenticación de IAM

Para crear una instancia de Memorystore para Redis Cluster que use la autenticación de IAM, ejecuta el comando create:

gcloud redis clusters create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Reemplaza lo siguiente:

INSTANCE_ID es el ID de la instancia de Memorystore for Redis Cluster que crearás. El ID de instancia debe tener entre 1 y 63 caracteres, y solo debe incluir letras en minúscula, números o guiones. Debe comenzar con una letra minúscula y terminar con una letra minúscula o un número.
REGION_ID es la región en la que deseas colocar la instancia.

Nota: Solo puedes crear instancias en las regiones admitidas para Memorystore for Redis Cluster. No todas las regiones que admite actualmente Memorystore para Redis están disponibles para Memorystore for Redis Cluster. Los comandos de gcloud redis regions list muestran las regiones compatibles con Memorystore para Redis, no con Memorystore for Redis Cluster.
NETWORK es la red que se usó para crear tu instancia. Debe usar el formato projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. El ID de red que se usa aquí debe coincidir con el que usa la política de conexión de servicio. De lo contrario, la operación create fallará. Para obtener más detalles, consulta Herramientas de redes.
NODE_TYPE es el tipo de nodo que elegiste. Los valores aceptados son los siguientes:
- redis-shared-core-nano
- redis-standard-small
- redis-highmem-medium
- redis-highmem-xlarge
Precaución: Te recomendamos que uses el tipo de nodo redis-shared-core-nano solo para fines de desarrollo o prueba. Si ejecutas Memorystore for Redis Cluster en un entorno de producción, te recomendamos que uses los tipos de nodos redis-standard-small, redis-highmem-medium o redis-highmem-xlarge. Para obtener más información sobre estos tipos de nodos, consulta Cómo elegir un tipo de nodo.
SHARD_COUNT determina la cantidad de fragmentos en tu instancia. El recuento de fragmentos determina la capacidad total de memoria para almacenar datos del clúster. Para obtener más detalles sobre la especificación del clúster, consulta Especificación del clúster y el nodo.

Otorga permisos para la autenticación de IAM

Para otorgar acceso a IAM, otorga a la principal el rol de roles/redis.dbConnectionUser con las instrucciones para otorgar roles de IAM.

De forma predeterminada, otorgar a un principal el rol de roles/redis.dbConnectionUser le permite acceder a todas las instancias de tu proyecto.

Crea un rol de administrador de IAM limitado para una instancia

Es posible que desees crear un rol que pueda modificar los permisos de IAM de conexión de instancias sin otorgar acceso completo de administrador de IAM. Para ello, crea un administrador de IAM limitado para el rol de roles/redis.dbConnectionUser`. Para obtener más detalles, consulta Crea administradores de IAM limitados.

Conéctate a una instancia que usa la autenticación de IAM

Si aún no tienes una VM de Compute Engine que use la misma red autorizada que tu clúster de Redis, crea una y conéctate a ella siguiendo la Guía de inicio rápido sobre el uso de una VM de Linux.
Para tu proyecto, habilita el alcance de la API de Cloud Platform. Para obtener más información sobre cómo habilitar este permiso de acceso, consulta Conecta la cuenta de servicio y actualiza el permiso de acceso. Para obtener más información sobre las prácticas recomendadas para este alcance, consulta Prácticas recomendadas para los alcances.
Habilita la API de Memorystore para Redis en tu proyecto.
API de Memorystore for Redis
Para instalar redis-cli en la VM de Compute Engine, ejecuta el siguiente comando desde la terminal SSH de Compute Engine:
```
sudo apt-get install redis-tools
```
Ejecuta el siguiente comando para obtener un token de acceso para tu usuario de IAM:
```
gcloud auth print-access-token
```
Nota: Los tokens de acceso vencerán en una hora. Para obtener más información, consulta Período del token de acceso de IAM.
Conéctate al extremo de detección de tu instancia:
```
redis-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Reemplaza lo siguiente:
- NETWORK_ADDRESS es la dirección de red de la instancia. Para ver la dirección de red, consulta Cómo ver la información de la instancia.
- PORT es el número de puerto de las instancias. Para ver el número de puerto, consulta Cómo ver la información de la instancia.
- ACCESS_TOKEN es el token de acceso de IAM que se recuperó en los pasos anteriores.
Nota: Las conexiones autenticadas son válidas durante 12 horas. Para obtener más información, consulta Período del token de acceso de IAM.
Ejecuta el comando CLUSTER SHARDS para ver la topología del clúster. Anota una de las direcciones IP y los números de puerto del nodo.
Para usar redis-cli para autenticarte y conectarte a tu nodo, usa el siguiente comando:
```
redis-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
Reemplaza lo siguiente:
- NODE_IP_ADDRESS: La dirección IP del nodo que encontraste en el paso anterior
- NODE_PORT: Es el número de puerto del nodo que encontraste en el paso anterior.
- ACCESS_TOKEN: El token de acceso de IAM que recuperaste en los pasos anteriores
Nota: Las conexiones autenticadas son válidas durante 12 horas. Para obtener más información, consulta Período del token de acceso de IAM.
Para verificar que tienes una conexión autenticada a tu nodo, ejecuta un comando SET y GET de Redis.
Borra la VM de Compute Engine que usaste para conectarte al clúster de Redis. Esto te ayuda a evitar que se generen cargos en tu cuenta de Facturación de Cloud.

Automatiza la recuperación de tokens de acceso

(Opcional) Si aún no lo hiciste, crea una cuenta de servicio para tu aplicación (consulta Crea y administra una cuenta de servicio).
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Reemplaza lo siguiente:
- SA_NAME es el nombre de la cuenta de servicio.
- DESCRIPTION es una descripción opcional de la cuenta de servicio.
- DISPLAY_NAME es un nombre de cuenta de servicio para mostrar en la consola deGoogle Cloud .
Otorga permiso redis.dbConnectionUser a tu cuenta de servicio en tu proyecto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role="ROLE_NAME"
```
Reemplaza lo siguiente:
- PROJECT_ID: El ID del proyecto
- SA_NAME: el nombre de la cuenta de servicio
- ROLE_NAME: Es un nombre de rol, como redis.dbConnectionUser.
Autentica tu aplicación como la cuenta de servicio determinada. Para obtener más información, consulta Cuentas de servicio.

Ejemplo de código para conectarse a una instancia que usa la autenticación de IAM

Puedes ver una muestra de código que te muestra cómo puedes autenticar tu aplicación con bibliotecas cliente populares. Además, puedes ver cómo usar este muestra de código para conectarte a una instancia que usa la autenticación de IAM.

Soluciona problemas de mensajes de error con la autenticación de IAM

Mensaje de error	Acción recomendada	Descripción
`-WRONGPASS invalid username-password pair or user is disabled`	Verifica el nombre de usuario y el token de acceso proporcionados al servidor de Memorystore for Redis Cluster	El nombre de usuario o el token de acceso proporcionados no son válidos. "default" es el único nombre de usuario admitido. Si tu aplicación ya usa el nombre de usuario "predeterminado", verifica que el token de acceso no haya vencido y que se haya recuperado según las instrucciones que se indican en Conéctate a una instancia que usa la autenticación de IAM. Si se cambiaron recientemente, es posible que los permisos de IAM tarden unos minutos en propagarse.
`-NOAUTH Authentication required`	Verifica que la aplicación esté configurada para proporcionar un token de acceso de IAM al servidor de Memorystore for Redis Cluster	La aplicación no proporciona un token de acceso al servidor de Memorystore for Redis Cluster. Verifica que la aplicación esté configurada para proporcionar un token de acceso. Para ello, sigue las instrucciones que se indican en Cómo conectarse a una instancia que usa la autenticación de IAM.
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Volver a intentarlo con una retirada exponencial	El backend de IAM está sobrecargado y devolvió un error de cuota excedida al servidor de Memorystore for Redis Cluster. Las aplicaciones deben intentar reintentar este error con una retirada exponencial para evitar más fallas de conexión.
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.`	Volver a intentarlo con una retirada exponencial	El backend de IAM devolvió un error transitorio al servidor de Memorystore for Redis Cluster. Las aplicaciones deben intentar reintentar este error con una retirada exponencial para evitar más fallas de conexión.