À propos de l'authentification IAM

Memorystore fournit la fonctionnalité d'authentification IAM qui exploite Identity and Access Management (IAM) pour vous aider à mieux gérer l'accès des utilisateurs et des comptes de service. L'authentification basée sur IAM s'intègre à Valkey AUTH, ce qui vous permet de faire pivoter facilement les identifiants (jetons IAM) sans avoir à vous fier à des mots de passe statiques.

Pour savoir comment configurer l'authentification IAM pour votre instance Memorystore, consultez Gérer l'authentification IAM.

Authentification IAM pour Valkey

Lorsque vous utilisez l'authentification IAM, l'autorisation d'accéder à une instance Memorystore n'est pas accordée directement à l'utilisateur final. À la place, les autorisations sont regroupées dans des rôles, et les rôles sont attribués à des comptes principaux. Pour en savoir plus, consultez la présentation d'IAM.

Les administrateurs qui s'authentifient avec IAM peuvent utiliser l'authentification IAM Memorystore pour gérer de manière centralisée le contrôle des accès à leurs instances à l'aide de stratégies IAM. Les stratégies IAM impliquent les entités suivantes :

  • Comptes principaux. Dans Memorystore, vous pouvez utiliser deux types de comptes principaux : un compte utilisateur et un compte de service (pour les applications). Les autres types de comptes principaux, tels que les groupes Google, les domaines Google Workspace ou les domaines Cloud Identity, ne sont pas encore compatibles avec l'authentification IAM. Pour en savoir plus, consultez la page Concepts liés à l'identité.

  • Rôles Pour l'authentification IAM Memorystore, un utilisateur a besoin de l'autorisation memorystore.instances.connect pour s'authentifier avec une instance. Pour obtenir cette autorisation, vous pouvez lier l'utilisateur ou le compte de service au rôle prédéfini "Utilisateur de la connexion de base de données Memorystore" (roles/memorystore.dbConnectionUser). Pour en savoir plus sur les rôles IAM, consultez la page Rôles.

  • Ressources. Les ressources auxquelles les comptes principaux accèdent sont des instances Memorystore. Par défaut, des liaisons de stratégie IAM sont appliquées au niveau du projet, de sorte que les comptes principaux reçoivent des autorisations de rôle pour toutes les instances Memorystore du projet. Toutefois, les associations de stratégies IAM peuvent être limitées à une instance spécifique. Pour obtenir des instructions, consultez la section Gérer les autorisations pour l'authentification IAM.

Commande AUTH Valkey

La fonctionnalité d'authentification IAM utilise la commande AUTH de Valkey pour s'intégrer à IAM, ce qui permet aux clients de fournir un jeton d'accès IAM qui sera validé par l'instance Valkey avant d'autoriser l'accès aux données.

Comme pour chaque commande, la commande AUTH est envoyée non chiffrée, sauf si le chiffrement en transit est activé.

Pour voir un exemple de commande AUTH, consultez Se connecter à une instance Valkey qui utilise l'authentification IAM.

Période de validité du jeton d'accès IAM

Par défaut, le jeton d'accès IAM que vous récupérez lors de l'authentification expire une heure après sa récupération. Vous pouvez également définir la date d'expiration du jeton d'accès lors de la génération du jeton d'accès. Un jeton valide doit être présenté via la commande AUTH lors de l'établissement d'une nouvelle connexion Valkey. Si le jeton a expiré, vous devrez en obtenir un nouveau pour établir de nouvelles connexions.

Mettre fin à une connexion authentifiée

Si vous souhaitez mettre fin à la connexion, vous pouvez le faire à l'aide de la commande CLIENT KILL de Valkey. Pour trouver la connexion que vous souhaitez interrompre, exécutez d'abord CLIENT LIST, qui renvoie les connexions client par ordre d'ancienneté. Vous pouvez ensuite exécuter CLIENT KILL pour mettre fin à la connexion souhaitée.

Sécurité et confidentialité

L'authentification IAM vous permet de vous assurer que votre instance Valkey n'est accessible qu'aux principaux IAM autorisés. Le chiffrement TLS n'est pas fourni, sauf si le chiffrement en transit est activé. C'est pourquoi il est recommandé d'activer le chiffrement en transit lorsque vous utilisez l'authentification IAM.

Se connecter à une VM Compute Engine

Si vous utilisez une VM Compute Engine pour vous connecter à une instance qui utilise l'authentification IAM, vous devez activer les API et les niveaux d'accès suivants pour votre projet: