Esta página foi traduzida pela API Cloud Translation.

Acerca da autenticação IAM

O Memorystore oferece a funcionalidade de autenticação da gestão de identidade e de acesso (IAM) que tira partido da IAM para ajudar a gerir melhor o acesso de início de sessão para utilizadores e contas de serviço. A autenticação baseada na IAM integra-se com a AUTH do Valkey, o que lhe permite rodar as credenciais (tokens da IAM) de forma integrada sem depender de palavras-passe estáticas.

Para consultar as instruções sobre como configurar a autenticação IAM para a sua instância do Memorystore, consulte o artigo Faça a gestão da autenticação IAM.

Autenticação IAM para o Valkey

Quando usa a autenticação do IAM, a autorização para aceder a uma instância do Memorystore não é concedida diretamente ao utilizador final. Em alternativa, as autorizações são agrupadas em funções, e as funções são concedidas a responsáveis. Para mais informações, consulte a vista geral da IAM.

Os administradores que se autenticam com o IAM podem usar a autenticação IAM do Memorystore para gerir centralmente o controlo de acesso às respetivas instâncias através de políticas do IAM. As políticas IAM envolvem as seguintes entidades:

Principais. No Memorystore, pode usar dois tipos de principais: Uma conta de utilizador e uma conta de serviço (para aplicações). Outros tipos de principais, como grupos Google, domínios do Google Workspace ou domínios do Cloud ID, ainda não são suportados para autenticação IAM. Para mais informações, consulte Conceitos relacionados com a identidade.
Funções. Para a autenticação da IAM do Memorystore, um utilizador requer a autorização memorystore.instances.connect para se autenticar com uma instância. Para receber esta autorização, pode associar o utilizador ou a conta de serviço à função predefinida de utilizador de ligação à base de dados do Memorystore (roles/memorystore.dbConnectionUser). Para mais informações sobre as funções de IAM, consulte o artigo Funções.
Recursos. Os recursos aos quais os diretores acedem são instâncias do Memorystore. Por predefinição, as associações de políticas de IAM são aplicadas ao nível do projeto, de modo que os responsáveis recebem autorizações de funções para todas as instâncias do Memorystore no projeto. No entanto, as associações de políticas do IAM podem ser restritas a uma instância específica. Para ver instruções, consulte o artigo Faça a gestão das autorizações para a autenticação de IAM.

Comando AUTH Valkey

A funcionalidade de autenticação do IAM usa o comando AUTH do Valkey para se integrar com o IAM, o que permite que os clientes forneçam um token de acesso do IAM que será validado pela instância do Valkey antes de permitir o acesso aos dados.

Tal como todos os comandos, o comando AUTH é enviado sem encriptação, a menos que a encriptação em trânsito esteja ativada.

Para ver um exemplo do aspeto do comando AUTH, consulte o artigo Estabeleça ligação a uma instância que use a autenticação IAM.

Intervalo de tempo do token de acesso da IAM

O token de acesso da IAM que obtém como parte da autenticação expira 1 hora após a obtenção por predefinição. Em alternativa, pode definir o tempo de validade do token de acesso quando gerar o token de acesso. Tem de apresentar um token válido através do comando AUTH quando estabelecer uma nova ligação Valkey. Se o token tiver expirado, tem de obter um novo token de acesso para estabelecer novas associações.

Termine uma ligação autenticada

Para terminar uma ligação, use o comando CLIENT KILL do Valkey. Primeiro, execute CLIENT LIST para identificar a ligação e, de seguida, execute CLIENT KILL para a terminar.

Ative a autenticação IAM

A ativação da autenticação da IAM não degrada o desempenho em estado estacionário. No entanto, afeta a taxa à qual pode estabelecer uma ligação.

A ativação da autenticação IAM limita a taxa de ligações de clientes estabelecidas por segundo. Isto deve-se ao facto de a autenticação do IAM do Google Cloud ter de autenticar cada nova ligação. No estado estável, uma aplicação ativa os conjuntos de ligações, pelo que este impacto é insignificante. No entanto, quando as aplicações cliente são reiniciadas ou implementadas, pode haver um aumento repentino de novas ligações. Se atualizar os clientes gradualmente e implementar a retirada exponencial, pode absorver esta taxa reduzida.

Para ver um exemplo de código de como usar a autenticação IAM, consulte o Exemplo de código para autenticação IAM e encriptação em trânsito.

Segurança e privacidade

A autenticação de IAM ajuda a garantir que a sua instância do Valkey só é acessível por principais de IAM autorizados. A encriptação TLS não é fornecida, a menos que a encriptação em trânsito esteja ativada. Por este motivo, recomendamos que a encriptação em trânsito seja ativada quando usar a autenticação IAM.

Estabelecer ligação com uma VM do Compute Engine

Se estiver a usar uma VM do Compute Engine para estabelecer ligação a uma instância que usa a autenticação IAM, tem de ativar os seguintes âmbitos de acesso e APIs para o seu projeto:

Âmbito da API Cloud Platform. Para obter instruções sobre como ativar este âmbito, consulte o artigo Anexe a conta de serviço e atualize o âmbito de acesso. Para uma descrição das práticas recomendadas para este âmbito de acesso, consulte o artigo Práticas recomendadas de âmbitos.
API Memorystore for Valkey. Para um link que ative a API, clique no seguinte botão:
Memorystore for Valkey

Acerca da autenticação IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.