Memorystore fournit la fonctionnalité d'authentification IAM qui exploite la gestion de l'authentification et des accès (IAM) pour vous aider à mieux gérer l'accès des utilisateurs et des comptes de service. L'authentification basée sur IAM s'intègre à Valkey AUTH, ce qui vous permet de faire pivoter facilement les identifiants (jetons IAM) sans avoir à vous fier à des mots de passe statiques.
Pour obtenir des instructions sur la configuration de l'authentification IAM Instance Memorystore (consultez la page Gérer l'authentification IAM)
Authentification IAM pour Valkey
Lorsque vous utilisez l'authentification IAM, l'autorisation d'accéder à une instance Memorystore n'est pas accordée directement à l'utilisateur final. À la place, les autorisations sont regroupées dans et les rôles sont attribués aux comptes principaux. Pour en savoir plus, consultez les Présentation d'IAM
Les administrateurs qui s'authentifient avec IAM peuvent utiliser Authentification IAM Memorystore pour une gestion centralisée contrôle des accès à leurs instances à l'aide de stratégies IAM. Les stratégies IAM impliquent les entités suivantes :
Comptes principaux. Dans Memorystore, vous pouvez utiliser deux types de comptes principaux: Un compte utilisateur et un compte de service (pour les applications). Autres types de comptes principaux, tels que des groupes Google, des domaines Google Workspace ou des domaines Cloud Identity n'est pas encore compatible avec l'authentification IAM. Pour plus d'informations, Consultez la page Concepts liés à l'identité.
Rôles Pour l'authentification IAM Memorystore, un utilisateur a besoin de l'autorisation memorystore.instances.connect pour s'authentifier avec une instance. Pour obtenir cette autorisation, vous pouvez lier l'utilisateur ou le compte de service au rôle prédéfini "Utilisateur de la connexion de base de données Memorystore" (roles/memorystore.dbConnectionUser). Pour en savoir plus sur les rôles IAM, consultez la page Rôles.
Ressources. Les ressources auxquelles les comptes principaux accèdent sont des instances Memorystore. Par défaut, les liaisons de stratégie IAM sont appliquées au niveau au niveau du projet, de sorte que les comptes principaux reçoivent des autorisations associées à des rôles Instances Memorystore du projet. Toutefois, les associations de stratégies IAM peuvent être limitées à une instance spécifique. Pour obtenir des instructions, consultez l'article Gérez les autorisations pour l'authentification IAM.
Commande Valkey AUTH
La fonctionnalité d'authentification IAM utilise la commande Valkey AUTH pour s'intègrent à IAM, ce qui permet aux clients de fournir Jeton d'accès IAM qui sera vérifié par Valkey instanec avant d'autoriser l'accès aux données.
Comme pour chaque commande, la commande AUTH est envoyée non chiffrée, sauf si le chiffrement en transit est activé.
Pour obtenir un exemple de commande AUTH, consultez la section Se connecter à une instance Valkey utilisant l'authentification IAM.
Période du jeton d'accès IAM
Le jeton d'accès IAM que vous récupérez lors de l'authentification expire une heure après sa récupération par défaut. Vous pouvez également définir la date d'expiration du jeton d'accès lorsque vous générez le jeton d'accès. Un jeton valide doit être présenté via la commande AUTH lors de l'établissement d'une nouvelle connexion Valkey. Si le jeton a expiré, vous devrez en obtenir un nouveau pour établir de nouvelles connexions.
Mettre fin à une connexion authentifiée
Si vous souhaitez mettre fin à la connexion, vous pouvez le faire à l'aide de la clé Valkey CLIENT KILL
. Pour trouver la connexion que vous souhaitez interrompre, exécutez d'abord CLIENT LIST, qui renvoie les connexions client par ordre d'ancienneté. Vous pouvez ensuite exécuter CLIENT KILL
pour mettre fin à la connexion souhaitée.
Sécurité et confidentialité
L'authentification IAM vous permet de vous assurer que votre instance Valkey n'est accessible qu'aux principaux IAM autorisés. Le chiffrement TLS n'est pas fourni, sauf si Chiffrement en transit est activé. C'est pourquoi nous vous recommandons d'utiliser doit être activée lors de l'utilisation de l'authentification IAM.
Se connecter à une VM Compute Engine
Si vous utilisez une VM Compute Engine pour vous connecter à une instance utilisant l'authentification IAM, vous devez activer les niveaux d'accès et les API suivants pour votre projet:
Champ d'application de l'API Cloud Platform Pour savoir comment activer ce niveau d'accès, consultez Associer le compte de service et modifier le niveau d'accès. Pour obtenir une description des bonnes pratiques concernant ce niveau d'accès, consultez la section Bonnes pratiques concernant les niveaux d'accès.
API Memorystore pour Valkey. Pour obtenir un lien permettant d'activer l'API, cliquez sur le bouton suivant :
Memorystore pour Valkey