Mengelola autentikasi IAM

Halaman ini memberikan petunjuk tentang tugas umum untuk fitur autentikasi IAM bagi Memorystore for Redis Cluster. Untuk mengetahui detail selengkapnya tentang fitur ini, lihat Tentang autentikasi IAM.

Membuat instance dengan autentikasi IAM

Untuk membuat instance Memorystore for Redis Cluster yang menggunakan autentikasi IAM, jalankan perintah create:

gcloud redis clusters create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Ganti kode berikut:

  • INSTANCE_ID adalah ID instance Memorystore for Redis Cluster yang Anda buat. ID instance Anda harus terdiri dari 1 hingga 63 karakter dan hanya menggunakan huruf kecil, angka, atau tanda hubung. ID ini harus dimulai dengan huruf kecil dan diakhiri dengan huruf kecil atau angka.

  • REGION_ID adalah region tempat Anda ingin menempatkan instance.

  • NETWORK adalah jaringan yang digunakan untuk membuat instance Anda. Harus menggunakan format: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. ID jaringan yang digunakan di sini harus cocok dengan ID jaringan yang digunakan oleh kebijakan koneksi layanan. Jika tidak, operasi create akan gagal. Untuk mengetahui detail selengkapnya, lihat Networking.

  • NODE_TYPE adalah jenis node yang Anda pilih. Nilai yang diterima adalah:

    • redis-shared-core-nano
    • redis-standard-small
    • redis-highmem-medium
    • redis-highmem-xlarge

  • SHARD_COUNT menentukan jumlah shard dalam instance Anda. Jumlah partisi menentukan total kapasitas memori untuk menyimpan data cluster. Untuk melihat detail selengkapnya tentang spesifikasi cluster, lihat Spesifikasi cluster dan node.

Memberikan izin untuk autentikasi IAM

Untuk memberikan akses IAM, berikan peran roles/redis.dbConnectionUser kepada akun utama menggunakan petunjuk Memberikan peran IAM.

Secara default, memberikan peran roles/redis.dbConnectionUser kepada akun utama akan memungkinkan akun utama tersebut mengakses semua instance di project Anda.

Membuat peran admin IAM terbatas untuk instance

Anda mungkin ingin membuat peran yang dapat mengubah izin IAM koneksi instance tanpa memberikan akses admin IAM penuh. Hal ini dapat dilakukan dengan membuat admin IAM terbatas untuk peran roles/redis.dbConnectionUser` role. Untuk mengetahui detail selengkapnya, buka Membuat admin IAM terbatas.

Menghubungkan ke instance yang menggunakan autentikasi IAM

  1. Jika Anda belum memiliki VM Compute Engine yang menggunakan jaringan resmi yang sama dengan cluster Redis Anda, buat VM dan hubungkan ke VM tersebut dengan mengikuti Panduan memulai menggunakan VM Linux.

  2. Untuk project Anda, aktifkan cakupan Cloud Platform API. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan cakupan akses ini, lihat Melampirkan akun layanan dan memperbarui cakupan akses. Untuk mengetahui informasi selengkapnya tentang praktik terbaik untuk cakupan ini, lihat Praktik terbaik cakupan.

  3. Untuk project Anda, aktifkan Memorystore for Redis API.

    Memorystore for Redis API

  4. Instal redis-cli di VM Compute Engine dengan menjalankan perintah berikut dari terminal SSH Compute Engine:

    sudo apt-get install redis-tools

  5. Jalankan perintah berikut untuk mendapatkan token akses bagi pengguna IAM Anda:

    gcloud auth print-access-token

  6. Hubungkan ke endpoint penemuan instance Anda:

    redis-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c

    Ganti kode berikut:

    • NETWORK_ADDRESS adalah alamat jaringan instance. Untuk melihat alamat jaringan, lihat Melihat informasi instance.

    • PORT adalah nomor port instance. Untuk melihat nomor port, lihat Melihat informasi instance.

    • ACCESS_TOKEN adalah token akses IAM yang diambil pada langkah-langkah sebelumnya.

  7. Jalankan perintah CLUSTER SHARDS untuk melihat topologi cluster Anda. Catat salah satu alamat IP dan nomor port node.

  8. Untuk menggunakan redis-cli guna melakukan autentikasi dan terhubung ke node Anda, gunakan perintah berikut:

    redis-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c

    Ganti kode berikut:

    • NODE_IP_ADDRESS: alamat IP node yang Anda temukan pada langkah sebelumnya
    • NODE_PORT: nomor port node yang Anda temukan pada langkah sebelumnya
    • ACCESS_TOKEN: token akses IAM yang Anda ambil pada langkah sebelumnya

  9. Untuk memverifikasi bahwa Anda memiliki koneksi yang diautentikasi ke node, jalankan perintah Redis SET dan GET.

  10. Hapus VM Compute Engine yang Anda gunakan untuk terhubung ke cluster Redis. Hal ini membantu Anda menghindari biaya yang dikenakan ke akun Penagihan Cloud Anda.

Mengotomatiskan pengambilan token akses

  1. (Opsional) Jika Anda belum melakukannya, buat akun layanan untuk aplikasi Anda (lihat Membuat dan mengelola akun layanan).

    gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"

    Ganti kode berikut:

    • SA_NAME adalah nama akun layanan.
    • DESCRIPTION adalah deskripsi opsional akun layanan.
    • DISPLAY_NAME adalah nama akun layanan yang akan ditampilkan di konsolGoogle Cloud .

  2. Beri akun layanan Anda izin redis.dbConnectionUser di project Anda.

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID." \
--role="ROLE_NAME"

    Ganti kode berikut:

    • PROJECT_ID: the project ID
    • SA_NAME: nama akun layanan
    • ROLE_NAME: nama peran, seperti redis.dbConnectionUser

  3. Lakukan autentikasi aplikasi Anda sebagai akun layanan yang diberikan. Untuk mengetahui informasi selengkapnya, lihat Akun layanan.

Contoh kode untuk menghubungkan ke instance yang menggunakan autentikasi IAM

Anda dapat melihat contoh kode yang menunjukkan cara mengautentikasi aplikasi Anda menggunakan library klien populer. Selain itu, Anda dapat melihat cara menggunakan contoh kode ini untuk terhubung ke instance yang menggunakan autentikasi IAM.

Memecahkan masalah pesan error dengan autentikasi IAM

Pesan error Tindakan yang disarankan Deskripsi

-WRONGPASS invalid username-password pair or user is disabled

Verifikasi nama pengguna dan token akses yang diberikan ke server Memorystore for Redis Cluster Nama pengguna atau token akses yang diberikan tidak valid. "default" adalah satu-satunya nama pengguna yang didukung. Jika aplikasi Anda sudah menggunakan nama pengguna "default", pastikan token akses belum habis masa berlakunya dan diambil dengan mengikuti petunjuk di Menghubungkan ke instance yang menggunakan autentikasi IAM. Izin IAM mungkin memerlukan waktu beberapa menit untuk diterapkan jika baru-baru ini diubah.

-NOAUTH Authentication required

Periksa apakah aplikasi dikonfigurasi untuk memberikan token akses IAM ke server Memorystore for Redis Cluster Aplikasi tidak memberikan token akses ke server Memorystore for Redis Cluster. Pastikan aplikasi dikonfigurasi untuk menyediakan token akses. Ikuti petunjuk di Menghubungkan ke instance yang menggunakan autentikasi IAM

-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.

Mencoba lagi dengan backoff eksponensial Backend IAM kelebihan beban dan menampilkan error kuota terlampaui ke server Memorystore for Redis Cluster. Aplikasi harus mencoba lagi error ini dengan backoff eksponensial untuk mencegah kegagalan koneksi lebih lanjut.

-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error. See https://cloud.google.com/memorystore/docs/cluster/manage-iam-auth#error_messages.

Mencoba lagi dengan backoff eksponensial Backend IAM menampilkan error sementara ke server Memorystore for Redis Cluster. Aplikasi harus mencoba lagi error ini dengan backoff eksponensial untuk mencegah kegagalan koneksi lebih lanjut.