Cette page fournit des instructions sur les tâches courantes de la fonctionnalité d'authentification IAM pour Memorystore pour Valkey. Pour en savoir plus sur cette fonctionnalité, consultez la section À propos de l'authentification IAM.
Créer une instance avec l'authentification IAM
Pour créer une instance Memorystore pour Valkey qui utilise l'authentification IAM, exécutez la commande create:
gcloud beta memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth
Remplacez les éléments suivants :
INSTANCE_ID est l'ID de l'instance Memorystore pour Valkey que vous créez. L'ID de l'instance doit comporter entre 1 et 63 caractères et ne contenir que des lettres minuscules, des chiffres ou des traits d'union. Il doit commencer par une lettre minuscule et se terminer par une lettre minuscule ou un chiffre.
REGION_ID est la région dans laquelle vous souhaitez placer l'instance.
NETWORK est le réseau utilisé pour créer votre instance. Il doit utiliser le format suivant:
projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. L'ID de réseau utilisé ici doit correspondre à celui utilisé par la stratégie de connexion au service. Sinon, l'opérationcreateéchoue. Pour en savoir plus, consultez la section Mise en réseau.NODE_TYPE correspond au type de nœud choisi. Voici les valeurs acceptées:
shared-core-nanostandard-smallhighmem-mediumhighmem-xlarge
Pour en savoir plus sur les types de nœuds et les configurations d'instances, consultez la section Spécification des instances et des nœuds.
SHARD_COUNT détermine le nombre de segments dans votre instance. Le nombre de fragments détermine la capacité de mémoire totale pour stocker les données d'instance. Pour en savoir plus sur la spécification des instances, consultez la section Spécification des instances et des nœuds.
Accorder des autorisations pour l'authentification IAM
Pour accorder un accès IAM, attribuez au principal le rôle roles/memorystore.dbConnectionUser en suivant les instructions pour attribuer un rôle IAM.
Par défaut, attribuer le rôle roles/memorystore.dbConnectionUser à un compte principal lui permet d'accéder à toutes les instances de votre projet.
Créer un rôle d'administrateur IAM limité pour une instance
Vous pouvez créer un rôle permettant de modifier les autorisations IAM de connexion d'instance sans accorder un accès administrateur IAM complet. Pour ce faire, créez un administrateur IAM limité pour le rôle roles/memorystore.dbConnectionUser. Pour en savoir plus, consultez Créer des administrateurs IAM limités.
Se connecter à une instance qui utilise l'authentification IAM
Si vous ne disposez pas encore d'une VM Compute Engine utilisant le même réseau autorisé que votre instance Valkey, créez-en une et connectez-vous en suivant les instructions de la page Démarrage rapide à l'aide d'une VM Linux.
Pour vous connecter à votre instance, vous devez activer les portées d'accès et les API suivantes pour votre projet:
Champ d'application de l'API Cloud Platform Pour savoir comment activer ce champ d'application, consultez la section Associer le compte de service et mettre à jour le champ d'application d'accès. Pour connaître les bonnes pratiques à suivre pour ce niveau d'accès, consultez Bonnes pratiques concernant les portées.
API Memorystore for Valkey Pour obtenir un lien permettant d'activer l'API, cliquez sur le bouton suivant :
Memorystore pour Valkey
Installez
valkey-clisur la VM Compute Engine en suivant les instructions de la section Installer Valkey.Exécutez la commande suivante pour obtenir un jeton d'accès pour votre utilisateur IAM:
gcloud auth print-access-token
Connectez-vous au point de terminaison de détection de votre instance:
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
NETWORK_ADDRESS est l'adresse réseau de l'instance. Pour afficher l'adresse réseau, consultez la section Afficher les informations de l'instance.
PORT correspond au numéro de port des instances. Pour afficher le numéro de port, consultez la section Afficher les informations de l'instance.
ACCESS_TOKEN correspond au jeton d'accès IAM récupéré lors des étapes précédentes.
Exécutez la commande
CLUSTER SHARDSpour afficher la topologie de vos nœuds. Notez l'une des adresses IP et des numéros de port du nœud.Connectez-vous au nœud de votre choix en exécutant la commande suivante:
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
- NODE_IP_ADDRESS est l'adresse IP du nœud que vous avez trouvée à l'étape précédente.
- NODE_PORT correspond au numéro de port du nœud que vous avez trouvé à l'étape précédente.
Exécutez une commande Valkey
SETetGETpour vérifier que vous avez établi une connexion authentifiée au nœud de votre instance.Une fois que vous avez terminé de tester la connexion à l'instance Valkey, pensez à supprimer la VM Compute Engine que vous avez utilisée pour vous connecter à l'instance Valkey. Vous éviterez ainsi que des frais soient facturés sur votre compte de facturation Cloud.
Exécutez la commande suivante pour vous authentifier et vous connecter à votre instance à l'aide de valkey-cli, en remplaçant les variables par les valeurs appropriées:
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
NETWORK_ADDRESS est l'adresse réseau de l'instance. Pour afficher l'adresse réseau, consultez la section Afficher les informations de l'instance.
PORT correspond au numéro de port des instances. Pour afficher le numéro de port, consultez la section Afficher les informations de l'instance.
ACCESS_TOKEN correspond au jeton d'accès IAM récupéré lors des étapes précédentes.
Exécutez une commande Valkey
SETetGETpour vérifier que vous avez établi une connexion authentifiée à votre instance.Une fois que vous avez terminé de tester la connexion à l'instance Valkey, pensez à supprimer la VM Compute Engine que vous avez utilisée pour vous connecter à l'instance Valkey. Vous éviterez ainsi que des frais soient facturés sur votre compte de facturation Cloud.
Automatiser la récupération du jeton d'accès
Nous vous recommandons d'automatiser la récupération du jeton d'accès dans votre application, car les jetons d'accès ne peuvent pas être facilement codés en dur en raison de leur durée de vie courte.
(Facultatif) Si vous ne l'avez pas déjà fait, créez un compte de service pour votre application (voir Créer et gérer un compte de service).
gcloud iam service-accounts create SA_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"Remplacez les éléments suivants :
- SA_NAME correspond au nom du compte de service.
- DESCRIPTION est une description facultative du compte de service.
- DISPLAY_NAME est un nom de compte de service à afficher dans la consoleGoogle Cloud .
Accordez à votre compte de service l'autorisation
memorystore.dbConnectionUsersur votre projet.gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --role="memorystore.dbConnectionUser"
Remplacez les éléments suivants :
- PROJECT_ID est l'ID de projet.
- SA_NAME correspond au nom du compte de service.
- ROLE_NAME est un nom de rôle, par exemple
roles/compute.osLogin.
Authentifiez votre application en tant que compte de service donné. Pour en savoir plus, consultez la section Comptes de service.
Pour obtenir des exemples de code qui montrent comment authentifier votre application à l'aide de bibliothèques clientes populaires, consultez Exemples de code de bibliothèque cliente d'authentification IAM.
Exemple de code pour se connecter à une instance qui utilise l'authentification IAM
Pour consulter un exemple de code compatible avec Valkey expliquant comment configurer une bibliothèque cliente pour se connecter à une instance qui utilise l'authentification IAM, consultez Exemple de code de bibliothèque cliente d'authentification IAM.