IAM 認証を管理する

このページでは、Memorystore for Valkey の IAM 認証機能の一般的なタスクに関する手順について説明します。この機能の詳細については、IAM 認証についてをご覧ください。

IAM 認証を使用するインスタンスを作成する

IAM 認証を使用する Memorystore for Valkey インスタンスを作成するには、create コマンドを実行します。

gcloud beta memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

以下を置き換えます。

INSTANCE_ID は、作成する Memorystore for Valkey インスタンスの ID です。インスタンス ID は 1〜63 文字にする必要があり、小文字、数字、ハイフンのみ使用できます。先頭は英小文字に、末尾は英小文字または数字にする必要があります。
REGION_ID は、インスタンスを配置するリージョンです。
NETWORK は、インスタンスの作成に使用されたネットワークです。projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID の形式を使用する必要があります。ここで使用するネットワーク ID は、サービス接続ポリシーで使用されるネットワーク ID と一致する必要があります。それ以外の場合、create オペレーションは失敗します。詳しくは、ネットワーキングをご覧ください。
NODE_TYPE は、選択したノードタイプです。次の値が利用できます。
- shared-core-nano
- standard-small
- highmem-medium
- highmem-xlarge
ノードタイプとインスタンス構成の詳細については、インスタンスとノードの仕様をご覧ください。
SHARD_COUNT によってインスタンス内のシャードの数が決定されます。シャード数によって、インスタンスデータを保存するための合計メモリ容量が決定されます。インスタンス仕様の詳細については、インスタンスとノードの仕様をご覧ください。

IAM 認証の権限を付与する

IAM アクセス権を付与するには、IAM ロールを付与する手順を使用して、プリンシパルに roles/memorystore.dbConnectionUser ロールを付与します。

デフォルトでは、プリンシパルに roles/memorystore.dbConnectionUser のロールを付与すると、そのプリンシパルはプロジェクト内のすべてのインスタンスにアクセスできるようになります。

インスタンスに対して制限付き IAM 管理者ロールを作成する

完全な IAM 管理者アクセス権を付与することなく、インスタンス接続の IAM 権限を変更できるロールを作成できます。これを行うには、roles/memorystore.dbConnectionUser ロールに対して制限付きの IAM 管理者を作成します。詳細については、制限付き IAM 管理者を作成するをご覧ください。

IAM 認証を使用するインスタンスに接続する

Valkey インスタンスと同じ承認済みネットワークを使用する Compute Engine VM がまだない場合は、作成してから、Linux VM の使用に関するクイックスタートに沿って接続します。
インスタンスに接続するには、プロジェクトで次のアクセススコープと API を有効にする必要があります。
- Cloud Platform API のスコープ。このスコープを有効にする手順については、サービスアカウントを接続してアクセススコープを更新するをご覧ください。このアクセススコープのベストプラクティスについては、スコープのベストプラクティスをご覧ください。
- Memorystore for Valkey API。API を有効にするリンクについては、次のボタンをクリックします。
  Memorystore for Valkey
Valkey のインストールの手順に沿って、valkey-cli を Compute Engine VM にインストールします。
IAM ユーザーのアクセストークンを取得するには、次のコマンドを実行します。
```
gcloud auth print-access-token
```
注: アクセストークンの有効時間は 1 時間です。詳細については、IAM アクセストークンの有効期間をご覧ください。
インスタンスの検出エンドポイントに接続します。
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NETWORK_ADDRESS は、インスタンスのネットワークアドレスです。ネットワークアドレスを表示するには、インスタンスの情報を表示するをご覧ください。
- PORT は、インスタンスのポート番号です。ポート番号を表示するには、インスタンスの情報を表示するをご覧ください。
- ACCESS_TOKEN は、前の手順で取得した IAM アクセストークンです。
注: 認証された接続は 12 時間有効です。詳細については、認証の期間をご覧ください。
CLUSTER SHARDS コマンドを実行して、ノードトポロジを表示します。ノードの IP アドレスとポート番号のいずれかをメモしておきます。
次のコマンドを実行して、選択したノードに接続します。
```
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NODE_IP_ADDRESS は、前の手順で確認したノードの IP アドレスです。
- NODE_PORT は、前の手順で確認したノードのポート番号です。
Valkey の SET と GET のコマンドを実行して、インスタンスのノードに対する認証済み接続が確立されたことを確認します。
Valkey インスタンスへの接続をテストしたら、Valkey インスタンスへの接続に使用した Compute Engine VM を削除することを検討してください。そうすることで、Cloud 請求先アカウントへの課金を回避できます。
次のコマンドを実行して、valkey-cli を使用し、認証を行いインスタンスに接続します。その際、変数は適切な値に置き換えます。
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NETWORK_ADDRESS は、インスタンスのネットワークアドレスです。ネットワークアドレスを表示するには、インスタンスの情報を表示するをご覧ください。
- PORT は、インスタンスのポート番号です。ポート番号を表示するには、インスタンスの情報を表示するをご覧ください。
- ACCESS_TOKEN は、前の手順で取得した IAM アクセストークンです。
注: 認証された接続は 12 時間有効です。詳細については、認証の期間をご覧ください。
Valkey の SET と GET のコマンドを実行して、インスタンスに対する認証済み接続が確立されたことを確認します。
Valkey インスタンスへの接続をテストしたら、Valkey インスタンスへの接続に使用した Compute Engine VM を削除することを検討してください。そうすることで、Cloud 請求先アカウントへの課金を回避できます。

アクセストークンの取得を自動化する

アクセストークンの有効期限は短いため、アクセストークンは簡単にハードコードできません。そのため、アプリケーションでアクセストークンの取得を自動化することをおすすめします。

（省略可）アプリケーションのサービスアカウントをまだ作成していない場合は、作成します（サービスアカウントの作成と管理をご覧ください）。
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
以下を置き換えます。
- SA_NAME はサービスアカウントの名前です。
- DESCRIPTION は、サービスアカウントの説明です（省略可能）。
- DISPLAY_NAME は、Google Cloud コンソールに表示するサービスアカウント名です。
サービスアカウントにプロジェクトの memorystore.dbConnectionUser 権限を付与します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role="memorystore.dbConnectionUser"
```
以下を置き換えます。
- PROJECT_ID は、プロジェクト ID です。
- SA_NAME はサービスアカウントの名前です。
- ROLE_NAME はロール名です（例: roles/compute.osLogin）。
指定されたサービスアカウントとしてアプリケーションを認証します。詳細については、サービスアカウントをご覧ください。

一般的なクライアントライブラリを使用してアプリケーションを認証する方法を示すコードサンプルについては、IAM 認証クライアントライブラリのコードサンプルをご覧ください。

IAM Auth を使用するインスタンスに接続するコードサンプル

IAM Auth を使用するインスタンスに接続するようにクライアントライブラリを設定する方法を示す Valkey 互換のコードサンプルについては、IAM Authentication クライアントライブラリのコードサンプルをご覧ください。