Cette page fournit des instructions sur les tâches courantes d'IAM Fonctionnalité d'authentification de Memorystore pour Valkey. Pour en savoir plus sur cette fonctionnalité, consultez la page À propos de l'authentification IAM.
Créer une instance avec authentification IAM
Créer une instance Memorystore pour Valkey qui utilise IAM
exécutez la commande create:
gcloud beta memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth
Remplacez les éléments suivants :
INSTANCE_ID est l'ID de l'instance Memorystore pour Valkey que vous créer. L'ID d'instance doit comporter entre 1 et 63 caractères et n'utiliser que des minuscules lettres, chiffres ou traits d'union. Il doit commencer par une lettre minuscule et se terminer par une lettre minuscule ou un chiffre.
REGION_ID est la région dans laquelle vous souhaitez placer l'instance.
NETWORK est le réseau utilisé pour créer votre instance. Il doit utiliser au format:
projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. L'ID de réseau utilisé ici doit correspondre à celui utilisé par la stratégie de connexion de service. Sinon, l'opérationcreateéchoue. Pour en savoir plus, consultez Mise en réseau.NODE_TYPE correspond au type de nœud choisi. Les valeurs acceptées sont les suivantes :
shared-core-nanostandard-smallhighmem-mediumhighmem-xlarge
Pour en savoir plus sur les types de nœuds et les configurations d'instances, consultez la section Spécification des instances et des nœuds.
SHARD_COUNT détermine le nombre de segments dans votre Compute Engine. Le nombre de fragments détermine la capacité de mémoire totale pour stocker les données d'instance. Pour en savoir plus sur la spécification des instances, consultez Spécification des instances et des nœuds.
Accorder des autorisations pour l'authentification IAM
Pour accorder un accès IAM, accordez au compte principal
roles/memorystore.dbConnectionUser à l'aide des instructions d'attribution des rôles IAM.
Par défaut, l'attribution du rôle roles/memorystore.dbConnectionUser à un compte principal permet
le compte principal pour accéder à toutes les instances de votre projet.
Créer un rôle d'administrateur IAM limité pour une instance
Vous pouvez créer un rôle permettant de modifier les autorisations IAM de connexion des instances sans accorder un accès administrateur IAM complet. Pour ce faire, créez un administrateur IAM limité pour le rôle roles/memorystore.dbConnectionUser. Pour plus
plus de détails, consultez Créer des administrateurs IAM limités.
Se connecter à une instance qui utilise l'authentification IAM
Si aucune de vos VM Compute Engine n'utilise le même réseau autorisé en tant qu'instance Valkey, créez-en un et connectez-vous à celui-ci en en suivant la procédure de démarrage rapide avec une VM Linux.
Pour vous connecter à votre instance, vous devez activer les portées d'accès et les API suivantes pour votre projet :
Champ d'application de l'API Cloud Platform : Pour savoir comment activer ce niveau d'accès, consultez Associer le compte de service et modifier le niveau d'accès. Pour obtenir une description des bonnes pratiques concernant ce niveau d'accès, consultez la section Bonnes pratiques concernant les niveaux d'accès.
API Memorystore pour Valkey. Pour obtenir un lien permettant d'activer l'API, cliquez sur le bouton suivant:
Memorystore pour Valkey
Installez
valkey-clisur la VM Compute Engine en suivant le consultez la page Installer Valkey.Exécutez la commande suivante pour obtenir un jeton d'accès pour votre utilisateur IAM :
gcloud auth print-access-token
Connectez-vous au point de terminaison de détection de votre instance :
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
NETWORK_ADDRESS est l'adresse réseau de l'instance. Pour afficher l'adresse réseau, consultez la section Afficher les informations de l'instance.
PORT correspond au numéro de port des instances. Pour afficher le numéro de port, consultez Affichez les informations sur les instances.
ACCESS_TOKEN correspond au jeton d'accès IAM récupéré lors des étapes précédentes.
Exécutez la commande
CLUSTER SHARDSpour afficher la topologie de vos nœuds. Notez l'une des adresses IP et des numéros de port du nœud.Connectez-vous au nœud de votre choix en exécutant la commande suivante :
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
- NODE_IP_ADDRESS est l'adresse IP du nœud que vous avez trouvée à l'étape précédente.
- NODE_PORT correspond au numéro de port du nœud que vous avez trouvé à l'étape précédente.
Exécutez les commandes Valkey
SETetGETpour vérifier que vous avez établi un authentifiée au nœud de votre instance.Une fois que vous avez terminé de tester votre connexion à l'instance Valkey, vous devez envisagez de supprimer la VM Compute Engine que vous avez utilisée pour vous connecter à l'instance Valkey. Vous éviterez ainsi que des frais soient facturés sur votre compte de facturation Cloud.
Exécutez la commande suivante pour vous authentifier et vous connecter à votre instance à l'aide de valkey-cli, en remplaçant les variables par les valeurs appropriées :
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
Remplacez les éléments suivants :
NETWORK_ADDRESS est l'adresse réseau de l'instance. Pour afficher l'adresse réseau, consultez la section Afficher les informations de l'instance.
PORT correspond au numéro de port des instances. Pour afficher le numéro de port, consultez Affichez les informations sur les instances.
ACCESS_TOKEN correspond au jeton d'accès IAM récupéré lors des étapes précédentes.
Exécutez une commande Valkey
SETetGETpour vérifier que vous avez établi une connexion authentifiée à votre instance.Une fois que vous avez terminé de tester la connexion à l'instance Valkey, pensez à supprimer la VM Compute Engine que vous avez utilisée pour vous connecter à l'instance Valkey. Vous éviterez ainsi que des frais soient facturés sur votre compte de facturation Cloud.
Automatiser la récupération du jeton d'accès
Il est recommandé d'automatiser la récupération de jetons d'accès dans votre application, car les jetons d’accès ne peuvent pas être facilement codés en dur en raison de leur courte durée de vie.
(Facultatif) Si vous ne l'avez pas déjà fait, créez un compte de service pour votre application (voir Créer et gérer un compte de service).
gcloud iam service-accounts create SA_NAME \ --description="DESCRIPTION" \ --display-name="DISPLAY_NAME"Remplacez les éléments suivants :
- SA_NAME correspond au nom du compte de service.
- DESCRIPTION est une description facultative du compte de service.
- DISPLAY_NAME est un nom de compte de service à afficher dans la console Google Cloud.
Accordez à votre compte de service l'autorisation
memorystore.dbConnectionUsersur votre projet.gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \ --role="memorystore.dbConnectionUser"
Remplacez les éléments suivants :
- PROJECT_ID est l'ID de projet.
- SA_NAME correspond au nom du compte de service.
- ROLE_NAME est un nom de rôle, par exemple
roles/compute.osLogin.
Authentifiez votre application en tant que compte de service donné. Voir Comptes de service pour en savoir plus.
Pour obtenir des exemples de code qui montrent comment authentifier votre application à l'aide de bibliothèques clientes populaires, consultez Exemples de code de bibliothèque cliente d'authentification IAM.
Exemple de code permettant de se connecter à une instance utilisant l'authentification IAM
Pour consulter un exemple de code compatible avec Valkey expliquant comment configurer une bibliothèque cliente pour se connecter à un qui utilise l'authentification IAM, consultez l'exemple de code de la bibliothèque cliente d'authentification IAM.