Tentang autentikasi IAM

Memorystore menyediakan fitur Autentikasi IAM yang memanfaatkan Identity and Access Management (IAM) untuk membantu Anda mengelola akses login bagi pengguna dan akun layanan dengan lebih baik. Autentikasi berbasis IAM terintegrasi dengan Valkey AUTH, sehingga Anda dapat merotasi kredensial (token IAM) dengan lancar tanpa mengandalkan sandi statis.

Untuk mengetahui petunjuk tentang menyiapkan autentikasi IAM untuk instance Memorystore, lihat Mengelola autentikasi IAM.

Autentikasi IAM untuk Valkey

Saat menggunakan autentikasi IAM, izin untuk mengakses instance Memorystore tidak diberikan langsung kepada pengguna akhir. Sebagai gantinya, izin dikelompokkan ke dalam peran, dan peran diberikan kepada akun utama. Untuk informasi selengkapnya, lihat Ringkasan IAM.

Administrator yang melakukan autentikasi dengan IAM dapat menggunakan autentikasi IAM Memorystore untuk mengelola kontrol akses ke instance mereka secara terpusat menggunakan kebijakan IAM. Kebijakan IAM melibatkan entitas berikut:

  • Akun utama. Di Memorystore, Anda dapat menggunakan dua jenis akun utama: Akun pengguna, dan akun layanan (untuk aplikasi). Jenis akun utama lainnya, seperti grup Google, domain Google Workspace, atau domain Cloud Identity belum didukung untuk autentikasi IAM. Untuk mengetahui informasi selengkapnya, lihat Konsep yang terkait dengan identitas.

  • Peran. Untuk autentikasi IAM Memorystore, pengguna memerlukan izin memorystore.instances.connect untuk mengautentikasi dengan instance. Untuk mendapatkan izin ini, Anda dapat mengikat pengguna atau akun layanan ke peran Pengguna Koneksi DB Memorystore (roles/memorystore.dbConnectionUser) yang telah ditetapkan. Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat Peran.

  • Resource. Resource yang diakses akun utama adalah instance Memorystore. Secara default, binding kebijakan IAM diterapkan di level project, sehingga akun utama menerima izin peran untuk semua instance Memorystore dalam project. Namun, binding kebijakan IAM dapat dibatasi untuk instance tertentu. Untuk mendapatkan petunjuk, lihat Mengelola izin untuk autentikasi IAM.

Perintah AUTH Valkey

Fitur Autentikasi IAM menggunakan perintah Valkey AUTH untuk berintegrasi dengan IAM, sehingga klien dapat memberikan token akses IAM yang akan diverifikasi oleh instance Valkey sebelum mengizinkan akses ke data.

Seperti setiap perintah, perintah AUTH dikirim tanpa dienkripsi kecuali jika Enkripsi dalam Transmisi diaktifkan.

Untuk mengetahui contoh tampilan perintah AUTH, lihat Menghubungkan ke instance Valkey yang menggunakan autentikasi IAM.

Rentang waktu token akses IAM

Token akses IAM yang Anda ambil sebagai bagian dari autentikasi akan berakhir masa berlakunya 1 jam setelah diambil secara default. Atau, Anda dapat menentukan waktu habis masa berlaku token akses saat Membuat token akses. Token yang valid harus ditampilkan melalui perintah AUTH saat membuat koneksi Valkey baru. Jika masa berlaku token telah berakhir, Anda harus mendapatkan token akses baru untuk membuat koneksi baru.

Mengakhiri koneksi yang diautentikasi

Jika ingin menghentikan koneksi, Anda dapat melakukannya menggunakan perintah CLIENT KILL Valkey. Untuk menemukan koneksi yang ingin dihentikan, jalankan CLIENT LIST terlebih dahulu, yang menampilkan koneksi klien berdasarkan urutan usia. Kemudian, Anda dapat menjalankan CLIENT KILL untuk menghentikan koneksi yang diinginkan.

Keamanan dan privasi

Autentikasi IAM membantu Anda memastikan bahwa instance Valkey Anda hanya dapat diakses oleh akun utama IAM yang diotorisasi. Enkripsi TLS tidak disediakan kecuali jika Enkripsi saat Transit diaktifkan. Oleh karena itu, sebaiknya Enkripsi Dalam Transmisi diaktifkan saat menggunakan Autentikasi IAM.

Menghubungkan dengan VM Compute Engine

Jika menggunakan VM Compute Engine untuk Menghubungkan ke instance yang menggunakan autentikasi IAM, Anda harus mengaktifkan cakupan akses dan API berikut untuk project Anda: