Mengelola autentikasi IAM

Halaman ini memberikan petunjuk tentang tugas umum untuk fitur Autentikasi IAM untuk Memorystore for Valkey. Untuk mengetahui detail selengkapnya tentang fitur ini, lihat Tentang autentikasi IAM.

Membuat instance dengan autentikasi IAM

Untuk membuat instance Memorystore for Valkey yang menggunakan autentikasi IAM, jalankan perintah create:

gcloud beta memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Ganti kode berikut:

  • INSTANCE_ID adalah ID instance Memorystore untuk Valkey yang Anda buat. ID instance Anda harus terdiri dari 1 hingga 63 karakter dan hanya boleh menggunakan huruf kecil, angka, atau tanda hubung. ID ini harus dimulai dengan huruf kecil dan diakhiri dengan huruf kecil atau angka.

  • REGION_ID adalah region tempat Anda ingin menempatkan instance.

  • NETWORK adalah jaringan yang digunakan untuk membuat instance Anda. File tersebut harus menggunakan format: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. ID jaringan yang digunakan di sini harus cocok dengan ID jaringan yang digunakan oleh kebijakan koneksi layanan. Jika tidak, operasi create akan gagal. Untuk detail selengkapnya, lihat Jaringan.

  • NODE_TYPE adalah jenis node yang Anda pilih. Nilai yang diterima adalah:

    • shared-core-nano
    • standard-small
    • highmem-medium
    • highmem-xlarge

    Untuk detail selengkapnya tentang jenis node dan konfigurasi instance, lihat Spesifikasi instance dan node.

  • SHARD_COUNT menentukan jumlah shard dalam instance Anda. Jumlah shard menentukan total kapasitas memori untuk menyimpan data instance. Untuk melihat detail selengkapnya tentang spesifikasi instance, lihat Spesifikasi instance dan node.

Memberikan izin untuk autentikasi IAM

Untuk memberikan akses IAM, berikan peran roles/memorystore.dbConnectionUser kepada akun utama menggunakan Petunjuk pemberian peran IAM.

Secara default, memberikan peran roles/memorystore.dbConnectionUser kepada akun utama memungkinkan akun utama mengakses semua instance dalam project Anda.

Membuat peran Admin IAM terbatas untuk instance

Anda mungkin ingin membuat peran yang dapat mengubah izin IAM koneksi instance tanpa memberikan akses administrator IAM penuh. Hal ini dapat dilakukan dengan membuat administrator IAM terbatas untuk peran roles/memorystore.dbConnectionUser. Untuk mengetahui detail selengkapnya, buka Membuat admin IAM terbatas.

Menghubungkan ke instance yang menggunakan autentikasi IAM

  1. Jika Anda belum memiliki VM Compute Engine yang menggunakan jaringan resmi yang sama dengan instance Valkey, buat VM dan hubungkan ke VM tersebut dengan mengikuti Panduan Memulai Menggunakan VM Linux.

  2. Untuk terhubung ke instance, Anda harus mengaktifkan cakupan akses dan API berikut untuk project Anda:

  3. Instal valkey-cli di VM Compute Engine dengan mengikuti petunjuk di Menginstal Valkey.

  4. Jalankan perintah berikut untuk mendapatkan token akses bagi pengguna IAM Anda:

    gcloud auth print-access-token
    
  5. Menghubungkan ke endpoint penemuan instance Anda:

    valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
    

    Ganti kode berikut:

    • NETWORK_ADDRESS adalah alamat jaringan instance. Untuk melihat alamat jaringan, lihat Melihat informasi instance.

    • PORT adalah nomor port instance. Untuk melihat nomor port, lihat Melihat informasi instance.

    • ACCESS_TOKEN adalah token akses IAM yang diambil pada langkah sebelumnya.

  6. Jalankan perintah CLUSTER SHARDS untuk melihat topologi node Anda. Catat salah satu alamat IP dan nomor port node.

  7. Hubungkan ke node yang dipilih dengan menjalankan perintah berikut:

    valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
    

    Ganti kode berikut:

    • NODE_IP_ADDRESS adalah alamat IP node yang Anda temukan di langkah sebelumnya.
    • NODE_PORT adalah nomor port node yang Anda temukan di langkah sebelumnya.
  8. Jalankan perintah SET dan GET Valkey untuk memverifikasi bahwa Anda telah membuat koneksi yang diautentikasi ke node instance.

  9. Setelah selesai menguji koneksi ke instance Valkey, Anda harus mempertimbangkan untuk menghapus VM Compute Engine yang digunakan untuk terhubung ke instance Valkey. Tindakan ini membantu Anda menghindari tagihan ke akun Penagihan Cloud.

  10. Jalankan perintah berikut untuk menggunakan valkey-cli guna mengautentikasi dan terhubung ke instance Anda, dengan mengganti variabel dengan nilai yang sesuai:

    valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
    

    Ganti kode berikut:

    • NETWORK_ADDRESS adalah alamat jaringan instance. Untuk melihat alamat jaringan, lihat Melihat informasi instance.

    • PORT adalah nomor port instance. Untuk melihat nomor port, lihat Melihat informasi instance.

    • ACCESS_TOKEN adalah token akses IAM yang diambil pada langkah sebelumnya.

  11. Jalankan perintah SET dan GET Valkey untuk memverifikasi bahwa Anda telah membuat koneksi yang diautentikasi ke instance Anda.

  12. Setelah selesai menguji koneksi ke instance Valkey, Anda harus mempertimbangkan untuk menghapus VM Compute Engine yang digunakan untuk terhubung ke instance Valkey. Tindakan ini membantu Anda menghindari tagihan ke akun Penagihan Cloud.

Mengotomatiskan pengambilan token akses

Sebaiknya otomatiskan pengambilan token akses di aplikasi Anda, karena token akses tidak dapat di-hardcode dengan mudah karena masa berlakunya yang singkat.

  1. (Opsional) Jika Anda belum melakukannya, buat akun layanan untuk aplikasi Anda (lihat Membuat dan mengelola akun layanan).

    gcloud iam service-accounts create SA_NAME \
        --description="DESCRIPTION" \
        --display-name="DISPLAY_NAME"
    

    Ganti kode berikut:

    • SA_NAME adalah nama akun layanan.
    • DESCRIPTION adalah deskripsi opsional untuk akun layanan.
    • DISPLAY_NAME adalah nama akun layanan yang akan ditampilkan di konsol Google Cloud.
  2. Berikan izin memorystore.dbConnectionUser akun layanan Anda di project Anda.

    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
    --role="memorystore.dbConnectionUser"
    

    Ganti kode berikut:

    • PROJECT_ID adalah project ID.
    • SA_NAME adalah nama akun layanan.
    • ROLE_NAME adalah nama peran, seperti roles/compute.osLogin.
  3. Lakukan autentikasi aplikasi Anda sebagai akun layanan yang diberikan. Lihat akun layanan untuk mengetahui informasi selengkapnya.

    Untuk contoh kode yang menunjukkan cara mengautentikasi aplikasi menggunakan library klien populer, lihat Contoh kode library klien autentikasi IAM.

Contoh kode untuk terhubung ke instance yang menggunakan IAM Auth

Untuk melihat contoh kode yang kompatibel dengan Valkey tentang cara menyiapkan library klien untuk terhubung ke instance yang menggunakan IAM Auth, lihat Contoh kode library klien Autentikasi IAM.