IAM-Authentifizierung

Memorystore bietet die IAM-Authentifizierung, die Identity and Access Management (IAM) nutzt, um den Anmeldezugriff für Nutzer und Dienstkonten besser zu verwalten. Die IAM-basierte Authentifizierung lässt sich in Valkey AUTH einbinden, sodass Sie Anmeldedaten (IAM-Tokens) nahtlos rotieren können, ohne auf statische Passwörter angewiesen zu sein.

Eine Anleitung zum Einrichten der IAM-Authentifizierung für Ihre Memorystore-Instanz finden Sie unter IAM-Authentifizierung verwalten.

IAM-Authentifizierung für Valkey

Bei Verwendung der IAM-Authentifizierung wird dem Endnutzer die Berechtigung für den Zugriff auf eine Memorystore-Instanz nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann Hauptkonten zugewiesen werden. Weitere Informationen finden Sie in der IAM-Übersicht.

Administratoren, die sich mit IAM authentifizieren, können die IAM-Authentifizierung von Memorystore verwenden, um die Zugriffssteuerung für ihre Instanzen zentral über IAM-Richtlinien zu verwalten. IAM-Richtlinien umfassen die folgenden Entitäten:

  • Hauptkonten. In Memorystore können Sie zwei Arten von Hauptkonten verwenden: ein Nutzerkonto und ein Dienstkonto (für Anwendungen). Andere Hauptkontotypen wie Google-Gruppen, Google Workspace-Domains oder Cloud Identity-Domains werden für die IAM-Authentifizierung noch nicht unterstützt. Weitere Informationen finden Sie unter Identitätskonzepte.

  • Rollen: Für die IAM-Authentifizierung von Memorystore benötigt ein Nutzer die Berechtigung memorystore.instances.connect, um sich bei einer Instanz zu authentifizieren. Damit der Nutzer diese Berechtigung erhält, können Sie ihn oder das Dienstkonto an die vordefinierte Rolle „Memorystore-Datenbankverbindungsnutzer“ (roles/memorystore.dbConnectionUser) binden. Weitere Informationen zu IAM-Rollen finden Sie unter Rollen.

  • Ressourcen: Die Ressourcen, auf die Hauptkonten zugreifen, sind Memorystore-Instanzen. Standardmäßig werden IAM-Richtlinienbindungen auf Projektebene angewendet, sodass Hauptkonten Rollenberechtigungen für alle Memorystore-Instanzen im Projekt erhalten. IAM-Richtlinienbindungen können jedoch auf eine bestimmte Instanz beschränkt werden. Eine Anleitung finden Sie unter Berechtigungen für die IAM-Authentifizierung verwalten.

Valkey AUTH-Befehl

Die IAM-Authentifizierungsfunktion verwendet den Valkey AUTH-Befehl, um die Integration in IAM zu ermöglichen. So können Kunden ein IAM-Zugriffstoken angeben, das von der Valkey-Instanz überprüft wird, bevor der Zugriff auf Daten gewährt wird.

Wie jeder Befehl wird auch der AUTH-Befehl unverschlüsselt gesendet, es sei denn, die Verschlüsselung während der Übertragung ist aktiviert.

Ein Beispiel für den AUTH-Befehl finden Sie unter Verbindung zu einer Valkey-Instanz herstellen, die die IAM-Authentifizierung verwendet.

Zeitrahmen für IAM-Zugriffstoken

Das IAM-Zugriffstoken, das Sie im Rahmen der Authentifizierung abrufen, läuft standardmäßig eine Stunde nach dem Abrufen ab. Alternativ können Sie die Ablaufzeit des Zugriffstokens beim Generieren des Zugriffstokens festlegen. Beim Herstellen einer neuen Valkey-Verbindung muss über den Befehl AUTH ein gültiges Token angegeben werden. Wenn das Token abgelaufen ist, müssen Sie ein neues Zugriffstoken abrufen, um neue Verbindungen herzustellen.

Authentifizierte Verbindung beenden

Wenn Sie die Verbindung trennen möchten, können Sie dies mit dem Valkey-Befehl CLIENT KILL tun. Um die Verbindung zu finden, die Sie beenden möchten, führen Sie zuerst CLIENT LIST aus. Dadurch werden die Clientverbindungen in der Reihenfolge ihres Alters zurückgegeben. Sie können dann CLIENT KILL ausführen, um die gewünschte Verbindung zu beenden.

Sicherheit und Datenschutz

Mit der IAM-Authentifizierung können Sie dafür sorgen, dass nur autorisierte IAM-Hauptkonten auf Ihre Valkey-Instanz zugreifen können. Die TLS-Verschlüsselung wird nur bereitgestellt, wenn die Verschlüsselung während der Übertragung aktiviert ist. Aus diesem Grund wird empfohlen, die Verschlüsselung während der Übertragung zu aktivieren, wenn die IAM-Authentifizierung verwendet wird.

Verbindung mit einer Compute Engine-VM herstellen

Wenn Sie eine Compute Engine-VM verwenden, um eine Verbindung zu einer Instanz mit IAM-Authentifizierung herzustellen, müssen Sie die folgenden Zugriffsbereiche und APIs für Ihr Projekt aktivieren: