Tentang autentikasi IAM

Memorystore menyediakan fitur Autentikasi IAM yang memanfaatkan Identity and Access Management (IAM) untuk membantu Anda mengelola akses login untuk pengguna dan akun layanan. Berbasis IAM autentikasi terintegrasi dengan Valkey AUTH, sehingga Anda dapat merotasinya dengan lancar kredensial (token IAM) tanpa bergantung pada sandi statis.

Untuk mendapatkan petunjuk tentang cara menyiapkan autentikasi IAM untuk akun Instance Memorystore, lihat Mengelola autentikasi IAM.

Autentikasi IAM untuk Valkey

Saat menggunakan autentikasi IAM, izin untuk mengakses instance Memorystore tidak diberikan secara langsung kepada pengguna akhir. Sebaliknya, izin akses dikelompokkan ke dalam peran, dan peran diberikan ke akun utama. Untuk informasi selengkapnya, lihat Ringkasan IAM.

Administrator yang melakukan autentikasi dengan IAM dapat menggunakan Autentikasi IAM Memorystore untuk mengelola secara terpusat yang memiliki kontrol akses ke instance mereka menggunakan kebijakan IAM. Kebijakan IAM melibatkan entity berikut:

  • Akun utama. Di Memorystore, Anda dapat menggunakan dua jenis akun utama: Akun pengguna, dan akun layanan (untuk aplikasi). Jenis akun utama lainnya, seperti grup Google, domain Google Workspace, atau domain Cloud Identity belum didukung untuk autentikasi IAM. Untuk informasi selengkapnya, lihat Konsep yang terkait dengan identitas.

  • Peran. Untuk autentikasi IAM Memorystore, pengguna memerlukan izin memorystore.instances.connect untuk melakukan autentikasi dengan instance. Untuk mendapatkan izin ini, Anda dapat mengikat pengguna atau akun layanan ke Pengguna Koneksi Memorystore DB yang telah ditetapkan (roles/memorystore.dbConnectionUser). Untuk mengetahui informasi selengkapnya tentang Peran IAM, lihat Peran.

  • Resource. Resource yang dapat diakses akun utama adalah Memorystore instance Compute Engine. Secara default, binding kebijakan IAM diterapkan di level project, sehingga akun utama menerima izin peran untuk semua instance Memorystore dalam project. Namun, IAM kebijakan binding dapat dibatasi untuk instance tertentu. Untuk mengetahui petunjuknya, lihat Mengelola izin untuk autentikasi IAM.

Perintah AUTH Valkey

Fitur Autentikasi IAM menggunakan perintah Valkey AUTH untuk terintegrasi dengan IAM, sehingga klien dapat menyediakan Token akses IAM yang akan diverifikasi oleh Valkey instanec sebelum mengizinkan akses ke data.

Seperti setiap perintah, perintah AUTH dikirim tanpa dienkripsi kecuali jika In Transit Encryption diaktifkan.

Untuk contoh tampilan perintah AUTH, lihat Menghubungkan ke instance Valkey yang menggunakan autentikasi IAM.

Jangka waktu token akses IAM

Token akses IAM yang Anda ambil sebagai bagian dari masa berlaku autentikasi berakhir 1 jam setelah diambil secara default. Sebagai alternatif, Anda dapat menentukan waktu habis masa berlaku token akses saat Membuat token akses. Token yang valid perlu disajikan melalui perintah AUTH saat membuat token Koneksi Valkey. Jika token telah habis masa berlakunya, Anda harus mendapatkan akses baru token untuk membuat koneksi baru.

Menghentikan koneksi yang diautentikasi

Jika ingin menghentikan koneksi, Anda dapat melakukannya menggunakan Valkey CLIENT KILL perintah. Untuk menemukan koneksi yang ingin Anda hentikan, jalankan CLIENT LIST terlebih dahulu, yang mengembalikan koneksi klien sesuai urutan usia. Anda kemudian dapat menjalankan CLIENT KILL untuk mengakhiri koneksi yang Anda inginkan.

Keamanan dan privasi

Autentikasi IAM membantu Anda memastikan bahwa instance Valkey Anda hanya dapat diakses oleh akun utama IAM yang diberi otorisasi. Enkripsi TLS adalah tidak diberikan kecuali jika Enkripsi Dalam Transit mengaktifkan pembuatan versi. Karena alasan ini, sebaiknya Anda menggunakan Enkripsi Dalam Transit diaktifkan saat menggunakan Autentikasi IAM.

Terhubung dengan VM Compute Engine

Jika menggunakan VM Compute Engine untuk Menghubungkan ke instance yang menggunakan autentikasi IAM, Anda harus mengaktifkan cakupan akses dan API berikut untuk project Anda: