Memorystore 提供 IAM 身份验证功能,该功能利用 Identity and Access Management (IAM) 帮助您更好地管理用户和服务账号的登录访问权限。基于 IAM 的身份验证与 Valkey AUTH 集成,让您无需依赖静态密码,即可无缝轮替凭据 (IAM 令牌)。
如需了解如何为 Memorystore 实例设置 IAM 身份验证,请参阅管理 IAM 身份验证。
适用于 Valkey 的 IAM 身份验证
使用 IAM 身份验证时,不会直接向最终用户授予 Memorystore 实例访问权限。而是按照 授予主账号角色和角色。有关详情,请参阅 IAM 概览。
使用 IAM 进行身份验证的管理员可以 Memorystore IAM 身份验证以集中管理 使用 IAM 政策对其实例进行访问权限控制。 IAM 政策涉及以下实体:
主账号。在 Memorystore 中,您可以使用两种类型的主账号: 一个用户账号和一个服务账号(用于应用)。IAM 身份验证尚不支持其他主账号类型,例如 Google 群组、Google Workspace 网域或 Cloud Identity 网域。如需更多信息 请参阅与身份相关的概念。
角色。对于 Memorystore IAM 身份验证 用户需要 memorystore.instances.connect 权限才能使用实例进行身份验证。如需获取此权限,您可以将用户或服务账号绑定到预定义的 Memorystore DB Connection User (roles/memorystore.dbConnectionUser) 角色。如需详细了解 IAM 角色,请参阅角色。
资源。主账号有权访问的资源是 Memorystore 实例。默认情况下,IAM 政策绑定应用于 具备项目级访问权限,以便主账号获得 项目中的 Memorystore 实例。但 IAM 政策绑定可以限于特定实例。有关说明,请参阅 管理 IAM 身份验证的权限。
Valkey AUTH 命令
IAM 身份验证功能使用 Valkey AUTH 命令与 IAM 集成,允许客户提供 IAM 访问令牌,该令牌将由 Valkey 实例进行验证,然后才能访问数据。
与每个命令一样,除非启用传输加密,否则 AUTH 命令会以不加密形式发送。
如需查看 AUTH 命令的示例,请参阅连接到使用 IAM 身份验证的 Valkey 实例。
IAM 访问令牌时间范围
默认情况下,您在身份验证过程中检索到的 IAM 访问令牌会在检索后 1 小时过期。或者,您也可以在生成访问令牌时定义访问令牌的过期时间。建立新的 Valkey 连接时,需要通过 AUTH 命令提供有效的令牌。如果令牌已过期,您需要获取新的访问令牌才能建立新的连接。
终止经过身份验证的连接
如果您想终止连接,可以使用 Valkey CLIENT KILL
命令。如需查找要终止的连接,请先运行 CLIENT LIST,该命令会按连接时间顺序返回客户端连接。然后,您可以运行 CLIENT KILL 来终止所需的连接。
安全性与隐私权
IAM 身份验证可帮助您确保只有已获授权的 IAM 主体才能访问您的 Valkey 实例。“TLS 加密”现为 除非传输加密,否则不会提供 。因此,我们建议将传输加密 必须开启此设置。
连接 Compute Engine 虚拟机
如果您使用 Compute Engine 虚拟机连接到使用 IAM 身份验证的实例,则必须为项目启用以下访问权限范围和 API:
Cloud Platform API 权限范围。如需了解如何启用此范围,请参阅关联服务账号并更新访问权限范围。如需了解此访问权限范围的最佳实践,请参阅范围最佳实践。
Memorystore for Valkey API。如需获取用于启用该 API 的链接,请点击以下按钮:
Memorystore for Valkey