Memorystore fornisce la funzionalità di autenticazione IAM che sfrutta Identity and Access Management (IAM) per aiutarti a gestire meglio l'accesso in base all'autenticazione per utenti e account di servizio. L'autenticazione basata su IAM si integra con Valkey AUTH, consentendoti di ruotare facilmente le credenziali (token IAM) senza fare affidamento su password statiche.
Per istruzioni sulla configurazione dell'autenticazione IAM per la tua istanza Memorystore, consulta Gestire l'autenticazione IAM.
Autenticazione IAM per Valkey
Quando utilizzi l'autenticazione IAM, l'autorizzazione per accedere a un'istanza Memorystore non viene concessa direttamente all'utente finale. Le autorizzazioni vengono invece raggruppate in ruoli e i ruoli vengono concessi alle entità. Per ulteriori informazioni, consulta la panoramica di IAM.
Gli amministratori che si autenticano con IAM possono utilizzare l'autenticazione IAM di Memorystore per gestire centralmente il controllo dell'accesso alle loro istanze utilizzando i criteri IAM. I criteri IAM coinvolgono le seguenti entità:
Direttori. In Memorystore puoi utilizzare due tipi di entità: un account utente e un account di servizio (per le applicazioni). Altri tipi di principali, come gruppi Google, domini Google Workspace o domini Cloud Identity, non sono ancora supportati per l'autenticazione IAM. Per ulteriori informazioni, consulta la sezione Concetti correlati all'identità.
Ruoli. Per l'autenticazione IAM di Memorystore, un utente richiede l'autorizzazione memorystore.instances.connect per autenticarsi con un'istanza. Per ottenere questa autorizzazione, puoi associare l'utente o l'account di servizio al ruolo predefinito Utente connessione a DB Memorystore (roles/memorystore.dbConnectionUser). Per ulteriori informazioni sui ruoli IAM, consulta Ruoli.
Risorse. Le risorse a cui accedono le entità sono istanze di Memorystore. Per impostazione predefinita, le associazioni dei criteri IAM vengono applicate a livello di progetto, in modo che le entità ricevano le autorizzazioni dei ruoli per tutte le istanze Memorystore del progetto. Tuttavia, le associazioni di criteri IAM possono essere limitate a una determinata istanza. Per le istruzioni, consulta Gestire le autorizzazioni per l'autenticazione IAM.
Comando Valkey AUTH
La funzionalità di autenticazione IAM utilizza il comando Valkey AUTH per integrarsi con IAM, consentendo ai client di fornire un token di accesso IAM che verrà verificato dall'istanza Valkey prima di consentire l'accesso ai dati.
Come ogni comando, il comando AUTH viene inviato non criptato, a meno che non sia attivata la crittografia in transito.
Per un esempio di come può essere il comando AUTH, consulta Connessione a un'istanza Valkey che utilizza l'autenticazione IAM.
Periodo di tempo del token di accesso IAM
Per impostazione predefinita, il token di accesso IAM recuperato nell'ambito dell'autenticazione scade un'ora dopo il recupero. In alternativa, puoi definire la data e l'ora di scadenza del token di accesso durante la generazione del token di accesso. Quando viene stabilita una nuova connessione Valkey, è necessario presentare un token valido tramite il comando AUTH. Se il token è scaduto, dovrai ottenere un nuovo token di accesso per stabilire nuove connessioni.
Terminazione di una connessione autenticata
Se vuoi terminare la connessione, puoi farlo utilizzando il comando Valkey CLIENT KILL. Per trovare la connessione che vuoi terminare, esegui prima CLIENT LIST,
che restituisce le connessioni dei client in ordine di data. Puoi quindi eseguire CLIENT KILL
per terminare la connessione che preferisci.
Sicurezza e privacy
L'autenticazione IAM ti consente di assicurarti che la tua istanza Valkey sia accessibile solo dalle entità IAM autorizzate. La crittografia TLS non viene fornita se non è attivata la crittografia in transito. Per questo motivo, è consigliabile attivare la crittografia in transito quando si utilizza l'autenticazione IAM.
Connessione con una VM Compute Engine
Se utilizzi una VM Compute Engine per connetterti a un'istanza che utilizza l'autenticazione IAM, devi abilitare i seguenti ambiti di accesso e API per il tuo progetto:
Ambito dell'API Cloud. Per istruzioni su come attivare questo ambito, consulta Collegare l'account di servizio e aggiornare l'ambito di accesso. Per una descrizione delle best practice per questo ambito di accesso, consulta Best practice per gli ambiti.
API Memorystore per Valkey. Per un link per attivare l'API, fai clic sul seguente pulsante:
Memorystore for Valkey