Memorystore proporciona la función de autenticación de IAM que aprovecha Identity and Access Management (IAM) para ayudarte a administrar mejor el acceso de los usuarios y las cuentas de servicio. La autenticación basada en IAM se integra en Valkey AUTH, lo que te permite rotar credenciales (tokens de IAM) sin depender de contraseñas estáticas.
Para obtener instrucciones sobre cómo configurar la autenticación de IAM para tu instancia de Memorystore, consulta Administra la autenticación de IAM.
Autenticación de IAM para Valkey
Cuando se usa la autenticación de IAM, el permiso para acceder a una instancia de Memorystore no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en roles, y los roles se otorgan a las principales. Para obtener más información, consulta la descripción general de IAM.
Los administradores que se autentican con IAM pueden usar la autenticación de IAM de Memorystore para administrar de forma centralizada el control de acceso a sus instancias con políticas de IAM. Las políticas de IAM involucran las siguientes entidades:
Principales En Memorystore, puedes usar dos tipos de principales: una cuenta de usuario y una cuenta de servicio (para aplicaciones). Otros tipos de principales, como los grupos de Google, los dominios de Google Workspace o los dominios de Cloud Identity, aún no son compatibles con la autenticación de IAM. Para obtener más información, consulta Conceptos relacionados con la identidad.
Funciones. Para la autenticación de IAM de Memorystore, un usuario necesita el permiso memorystore.instances.connect para autenticarse con una instancia. Para obtener este permiso, puedes vincular el usuario o la cuenta de servicio al rol predefinido de usuario de conexión a la base de datos de Memorystore (roles/memorystore.dbConnectionUser). Para obtener más información sobre las funciones de IAM, consulta Funciones.
Recursos Los recursos a los que acceden los principales son instancias de Memorystore. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que los principales reciban permisos de función para todas las instancias de Memorystore en el proyecto. Sin embargo, las vinculaciones de políticas de IAM se pueden restringir a una instancia en particular. Para obtener instrucciones, consulta Cómo administrar permisos para la autenticación de IAM.
Comando AUTH de Valkey
La función de autenticación de IAM usa el comando AUTH de Valkey para integrarlo a IAM, lo que permite que los clientes proporcionen un token de acceso de IAM que la instancia de Valkey verificará antes de permitir el acceso a los datos.
Al igual que todos los comandos, el comando AUTH se envía sin encriptar, a menos que esté habilitada la encriptación en tránsito.
Para ver un ejemplo de cómo se puede ver el comando AUTH, consulta Cómo conectarse a una instancia de Valkey que usa la autenticación de IAM.
Período del token de acceso de IAM
El token de acceso de IAM que recuperas como parte de la autenticación vence 1 hora después de que se recupera de forma predeterminada. Como alternativa, puedes definir el tiempo de vencimiento del token de acceso cuando generas el token de acceso. Se debe presentar un token válido a través del comando AUTH cuando se establece una nueva conexión de Valkey. Si el token venció, deberás obtener uno nuevo para establecer conexiones nuevas.
Cómo finalizar una conexión autenticada
Si quieres finalizar la conexión, puedes hacerlo con el comando CLIENT KILL de Valkey. Para encontrar la conexión que deseas finalizar, primero ejecuta CLIENT LIST, que muestra las conexiones del cliente en orden de antigüedad. Luego, puedes ejecutar CLIENT KILL para finalizar la conexión que desees.
Seguridad y privacidad
La autenticación de IAM te ayuda a garantizar que solo las principales de IAM autorizadas puedan acceder a tu instancia de Valkey. No se proporciona la encriptación TLS, a menos que esté habilitada la encriptación en tránsito. Por este motivo, se recomienda que se active la encriptación en tránsito cuando se usa la autenticación de IAM.
Cómo conectarse con una VM de Compute Engine
Si usas una VM de Compute Engine para conectarte a una instancia que usa la autenticación de IAM, debes habilitar los siguientes permisos de acceso y APIs para tu proyecto:
Alcance de la API de Cloud Platform. Para obtener instrucciones sobre cómo habilitar este permiso, consulta Cómo conectar la cuenta de servicio y actualizar el permiso de acceso. Para obtener una descripción de las prácticas recomendadas para este permiso de acceso, consulta Prácticas recomendadas para los permisos.
API de Memorystore para Valkey. Para obtener un vínculo que te permita habilitar la API, haz clic en el siguiente botón:
Memorystore para Valkey