Memorystore fornisce la funzionalità di autenticazione IAM che sfrutta Identity and Access Management (IAM) per aiutarti a gestire meglio l'accesso in base al nome utente per gli utenti e gli account di servizio. Basato su IAM l'autenticazione si integra con Valkey AUTH, consentendoti di ruotare senza interruzioni e credenziali (token IAM) senza ricorrere a password statiche.
Per le istruzioni sulla configurazione dell'autenticazione IAM per Per l'istanza Memorystore, vedi Gestire l'autenticazione IAM.
Autenticazione IAM per Valkey
Quando utilizzi l'autenticazione IAM, l'autorizzazione per accedere a un'istanza Memorystore non viene concessa direttamente all'utente finale. Le autorizzazioni vengono invece raggruppate in ruoli e i ruoli vengono concessi alle entità. Per ulteriori informazioni, consulta la panoramica di IAM.
Gli amministratori che eseguono l'autenticazione con IAM possono utilizzare Autenticazione IAM di Memorystore per la gestione centralizzata e il controllo dell'accesso alle proprie istanze tramite i criteri IAM. I criteri IAM coinvolgono le seguenti entità:
Entità. In Memorystore puoi utilizzare due tipi di entità: un account utente e un account di servizio (per le applicazioni). Altri tipi di entità, come gruppi Google, domini Google Workspace o domini Cloud Identity non ancora supportati per l'autenticazione IAM. Per ulteriori informazioni, consulta la sezione Concetti correlati all'identità.
Ruoli. Per l'autenticazione IAM di Memorystore, l'utente richiede l'autorizzazione memorystore.instances.connect per eseguire l'autenticazione con un'istanza. Per ottenere questa autorizzazione, puoi associare l'utente o l'account di servizio al ruolo Utente connessione a DB Memorystore predefinito (roles/memorystore.dbConnectionUser). Per ulteriori informazioni Per i ruoli IAM, consulta Ruoli.
Risorse: Le risorse a cui accedono le entità sono Memorystore di Compute Engine. Per impostazione predefinita, le associazioni di criteri IAM vengono applicate a livello di progetto, in modo che le entità ricevano le autorizzazioni dei ruoli Istanze Memorystore nel progetto. Tuttavia, le associazioni di criteri IAM possono essere limitate a una determinata istanza. Per le istruzioni, consulta Gestire le autorizzazioni per l'autenticazione IAM.
Comando Valkey AUTH
La funzionalità di autenticazione IAM utilizza il comando Valkey AUTH per integrarsi con IAM, consentendo ai client di fornire un token di accesso IAM che verrà verificato dall'istanza Valkey prima di consentire l'accesso ai dati.
Come ogni comando, il comando AUTH viene inviato non criptato, a meno che non sia abilitata la crittografia dei dati in transito.
Per un esempio di come può essere il comando AUTH, consulta Connessione a un'istanza Valkey che utilizza l'autenticazione IAM.
Periodo di tempo del token di accesso IAM
Il token di accesso IAM recuperato come parte l'autenticazione scade un'ora dopo il recupero per impostazione predefinita. In alternativa, puoi definire la data e l'ora di scadenza del token di accesso durante la generazione del token di accesso. È necessario presentare un token valido tramite il comando AUTH quando si stabilisce una nuova Connessione Valkey. Se il token è scaduto, dovrai ottenere un nuovo accesso per stabilire nuove connessioni.
Terminazione di una connessione autenticata
Se vuoi terminare la connessione, puoi farlo utilizzando Valkey CLIENT KILL
. Per trovare la connessione che vuoi terminare, esegui prima CLIENT LIST
,
che restituisce le connessioni dei client in ordine di data. Puoi quindi eseguire CLIENT KILL
per terminare la connessione che ti interessa.
Sicurezza e privacy
L'autenticazione IAM ti consente di assicurarti che la tua istanza Valkey sia accessibile solo dalle entità IAM autorizzate. La crittografia TLS è non fornito, a meno che non sia presente l'opzione Crittografia dei dati in transito in un bucket in cui è abilitato il controllo delle versioni. Per questo motivo è consigliabile che la crittografia dei dati in transito attivare quando si utilizza l'autenticazione IAM.
Connessione con una VM di Compute Engine
Se utilizzi una VM Compute Engine per connetterti a un'istanza che utilizza l'autenticazione IAM, devi abilitare i seguenti ambiti di accesso e API per il tuo progetto:
Ambito API Cloud Platform. Per istruzioni su come attivare questo ambito, consulta Collegare l'account di servizio e aggiornare l'ambito di accesso. Per una descrizione delle best practice per questo ambito di accesso, consulta la Best practice per gli ambiti.
API Memorystore per Valkey. Per un link per abilitare l'API, fai clic sul pulsante seguente:
Memorystore per Valkey