Sobre a autenticação do IAM

O Memorystore oferece o recurso de autenticação do IAM que aproveita o Identity and Access Management (IAM) para ajudar a gerenciar melhor o acesso de login para usuários e contas de serviço. A autenticação baseada em IAM se integra ao Valkey AUTH, permitindo que você faça a rotação de credenciais (tokens do IAM) sem depender de senhas estáticas.

Para instruções sobre como configurar a autenticação do IAM para sua instância do Memorystore, consulte Gerenciar a autenticação do IAM.

Autenticação do IAM para o Valkey

Ao usar a autenticação do IAM, a permissão para acessar uma instância do Memorystore não é concedida diretamente ao usuário final. Em vez disso, as permissões são agrupadas em papéis, que são concedidos a principais. Para mais informações, consulte a Visão geral do IAM.

Os administradores que fazem a autenticação com o IAM podem usar a autenticação do IAM do Memorystore para gerenciar centralmente o controle de acesso às instâncias usando políticas do IAM. As políticas do IAM envolvem as seguintes entidades:

  • Principais. No Memorystore, é possível usar dois tipos de principais: uma conta de usuário e uma conta de serviço (para aplicativos). Outros tipos de principais, como grupos do Google, domínios do Google Workspace ou domínios do Cloud Identity, ainda não são compatíveis com a autenticação do IAM. Para mais informações, consulte Conceitos relacionados à identidade.

  • Papéis. Para a autenticação do IAM do Memorystore, um usuário precisa da permissão memorystore.instances.connect para se autenticar com uma instância. Para receber essa permissão, vincule a conta de usuário ou de serviço ao papel predefinido de usuário de conexão do DB do Memorystore (roles/memorystore.dbConnectionUser). Para mais informações sobre papéis do IAM, consulte Papéis.

  • Recursos. Os recursos que os principais acessam são instâncias do Memorystore. Por padrão, as vinculações de política do IAM são aplicadas no nível do projeto, de modo que os principais recebam permissões de função para todas as instâncias do Memorystore no projeto. No entanto, as vinculações de políticas do IAM podem ser restritas a uma instância específica. Para instruções, consulte Gerenciar permissões para autenticação do IAM.

Comando AUTH da Valkey

O recurso de autenticação do IAM usa o comando Valkey AUTH para se integrar ao IAM, permitindo que os clientes forneçam um token de acesso do IAM que será verificado pela instância do Valkey antes de permitir o acesso aos dados.

Como todo comando, o comando AUTH é enviado não criptografado, a menos que a Criptografia em trânsito esteja ativada.

Para conferir um exemplo do comando AUTH, consulte Como se conectar a uma instância do Valkey que usa a autenticação do IAM.

Período do token de acesso do IAM

O token de acesso do IAM que você recupera como parte da autenticação expira uma hora após a recuperação, por padrão. Como alternativa, você pode definir o tempo de expiração do token de acesso ao Gerar o token de acesso. Um token válido precisa ser apresentado pelo comando AUTH ao estabelecer uma nova conexão da Valkey. Se o token tiver expirado, você vai precisar de um novo token de acesso para estabelecer novas conexões.

Como encerrar uma conexão autenticada

Se você quiser encerrar a conexão, use o comando CLIENT KILL do Valkey. Para encontrar a conexão que você quer encerrar, primeiro execute CLIENT LIST, que retorna as conexões de cliente em ordem de idade. Em seguida, execute CLIENT KILL para encerrar a conexão desejada.

Segurança e privacidade

A autenticação do IAM ajuda a garantir que sua instância do Valkey só seja acessível por entidades principais autorizadas do IAM. A criptografia TLS não é fornecida, a menos que a Criptografia em trânsito esteja ativada. Por esse motivo, é recomendável ativar a criptografia em trânsito ao usar a autenticação do IAM.

Como se conectar a uma VM do Compute Engine

Se você estiver usando uma VM do Compute Engine para se conectar a uma instância que usa a autenticação do IAM, ative os escopos de acesso e as APIs a seguir no projeto: