IAM-Authentifizierung

Memorystore bietet die IAM-Authentifizierungsfunktion, nutzt Identity and Access Management (IAM), um die Verwaltung Log-in-Zugriff für Nutzer und Dienstkonten. IAM-basiert -Authentifizierung ist in Valkey AUTH integriert, sodass Sie nahtlos Anmeldedaten (IAM-Tokens) zu verwenden, ohne statische Passwörter zu verwenden.

Eine Anleitung zum Einrichten der IAM-Authentifizierung für Ihre Memorystore-Instanz finden Sie unter IAM-Authentifizierung verwalten.

IAM-Authentifizierung für Valkey

Bei Verwendung der IAM-Authentifizierung Berechtigung für den Zugriff auf eine Memorystore-Instanz nicht direkt dem Endnutzer gewährt wird. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.

Administratoren, die sich mit IAM authentifizieren, können Memorystore IAM-Authentifizierung für die zentrale Verwaltung Zugriffssteuerung auf ihre Instanzen mithilfe von IAM-Richtlinien. IAM-Richtlinien umfassen die folgenden Entitäten:

  • Hauptkonten. In Memorystore können Sie zwei Arten von Hauptkonten verwenden: ein Nutzerkonto und ein Dienstkonto (für Anwendungen). Andere Hauptkontotypen wie Google-Gruppen, Google Workspace-Domains oder Cloud Identity-Domains werden für die IAM-Authentifizierung noch nicht unterstützt. Weitere Informationen finden Sie unter Identitätskonzepte.

  • Rollen: Für die Memorystore-IAM-Authentifizierung gilt: Nutzer benötigen die Berechtigung memorystore.instances.connect, um sich bei einer Instanz zu authentifizieren. Um diese Berechtigung zu erhalten, können Sie den Nutzer oder das Dienstkonto an die vordefinierter Memorystore-DB-Verbindungsnutzer (roles/memorystore.dbConnectionUser) zu. Weitere Informationen zu Weitere Informationen zu IAM-Rollen

  • Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Memorystore Instanzen. Standardmäßig werden IAM-Richtlinienbindungen an der auf Projektebene, sodass Hauptkonten Rollenberechtigungen für alle Memorystore-Instanzen im Projekt. IAM-Richtlinienbindungen können jedoch auf eine bestimmte Instanz beschränkt werden. Eine Anleitung finden Sie unter Berechtigungen für die IAM-Authentifizierung verwalten.

Valkey AUTH-Befehl

Die IAM-Authentifizierungsfunktion nutzt den Valkey AUTH-Befehl, um in IAM integrieren, sodass Clients ein IAM-Zugriffstoken, das vom bevor der Zugriff auf Daten gewährt wird.

Wie jeder Befehl wird auch der AUTH-Befehl unverschlüsselt gesendet, sofern die Verschlüsselung bei der Übertragung nicht aktiviert ist.

Ein Beispiel für den AUTH-Befehl finden Sie unter Verbindung zu einer Valkey-Instanz herstellen, die die IAM-Authentifizierung verwendet.

Zeitraum für IAM-Zugriffstoken

Das IAM-Zugriffstoken, das Sie im Rahmen des -Authentifizierung läuft 1 Stunde nach dem Abruf ab. Alternativ können Sie Sie können die Ablaufzeit des Zugriffstokens beim Generieren des Zugriffstokens festlegen. Beim Herstellen einer neuen Valkey-Verbindung muss über den Befehl AUTH ein gültiges Token angegeben werden. Wenn das Token abgelaufen ist, müssen Sie ein neues Zugriffstoken abrufen, um neue Verbindungen herzustellen.

Authentifizierte Verbindung beenden

Wenn Sie die Verbindung beenden möchten, können Sie dies mit der Valkey-CLIENT KILL tun. . Um die Verbindung zu finden, die Sie beenden möchten, führen Sie zuerst CLIENT LIST aus. Dadurch werden die Clientverbindungen in der Reihenfolge ihres Alters zurückgegeben. Sie können dann CLIENT KILL ausführen, um die gewünschte Verbindung zu beenden.

Sicherheit und Datenschutz

Mit der IAM-Authentifizierung können Sie sicherstellen, dass Ihre Valkey-Instanz nur für autorisierte IAM-Hauptkonten zugänglich sind. TLS-Verschlüsselung ist nicht angegeben, außer Verschlüsselung während der Übertragung aktiviert. Aus diesem Grund wird die Verschlüsselung während der Übertragung empfohlen. aktiviert werden, wenn die IAM-Authentifizierung verwendet wird.

Verbindung zu einer Compute Engine-VM herstellen

Wenn Sie eine Compute Engine-VM verwenden, um eine Verbindung zu einer Instanz mit IAM-Authentifizierung herzustellen, müssen Sie die folgenden Zugriffsbereiche und APIs für Ihr Projekt aktivieren: