Memorystore proporciona la función de autenticación de IAM que que aprovecha Identity and Access Management (IAM) para ayudarte a administrar mejor de acceso para usuarios y cuentas de servicio. La autenticación basada en IAM se integra en Valkey AUTH, lo que te permite rotar credenciales (tokens de IAM) sin depender de contraseñas estáticas.
Para obtener instrucciones sobre cómo configurar la autenticación de IAM para tu instancia de Memorystore, consulta Administra la autenticación de IAM.
Autenticación de IAM para Valkey
Cuando se usa la autenticación de IAM, el permiso para acceder a una instancia de Memorystore no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en roles, y los roles se otorgan a las principales. Para obtener más información, consulta la Descripción general de IAM.
Los administradores que se autentican con IAM pueden usar la autenticación de IAM de Memorystore para administrar de forma centralizada el control de acceso a sus instancias con políticas de IAM. Las políticas de IAM involucran las siguientes entidades:
Principales En Memorystore, puedes usar dos tipos de principales: una cuenta de usuario y una cuenta de servicio (para aplicaciones). Otros tipos de principales, como los grupos de Google, los dominios de Google Workspace o los dominios de Cloud Identity, aún no son compatibles con la autenticación de IAM. Para obtener más información, consulta Conceptos relacionados con la identidad.
Funciones. Para la autenticación de IAM de Memorystore, un el usuario necesita el permiso memorystore.instances.connect para autenticarse con una instancia. Para obtener este permiso, puedes vincular el usuario o la cuenta de servicio a la Usuario predefinido de conexión a base de datos de Memorystore (roles/memorystore.dbConnectionUser). Para obtener más información sobre las funciones de IAM, consulta Funciones.
Recursos Los recursos a los que acceden las principales son Memorystore. individuales. De forma predeterminada, las vinculaciones de políticas de IAM se aplican a nivel de proyecto, de modo que los principales reciban permisos de función para todas las instancias de Memorystore en el proyecto. Sin embargo, IAM las vinculaciones de políticas se pueden restringir a una instancia en particular. Para obtener instrucciones, consulta Administra los permisos para la autenticación de IAM.
Comando AUTH de Valkey
La función de autenticación de IAM usa el comando AUTH de Valkey para integrarse con la IAM, lo que permite a los clientes proporcionar token de acceso de IAM que verificará el Instalar Valkey antes de permitir el acceso a los datos
Al igual que todos los comandos, el comando AUTH se envía sin encriptar, a menos que esté habilitada la encriptación en tránsito.
Para ver un ejemplo de cómo puede verse el comando AUTH, consulta Conéctate a una instancia de Valkey que use la autenticación de IAM.
Período del token de acceso de IAM
El token de acceso de IAM que recuperas como parte del la autenticación vence 1 hora después de que se recupera de forma predeterminada. Por otro lado, puedes definir el tiempo de vencimiento del token de acceso cuando generas el token de acceso. Se debe presentar un token válido a través del comando AUTH cuando se establece una nueva conexión de Valkey. Si el token venció, deberás obtener uno nuevo para establecer conexiones nuevas.
Cómo finalizar una conexión autenticada
Si quieres finalizar la conexión, puedes hacerlo con el comando CLIENT KILL de Valkey. Para encontrar la conexión que deseas finalizar, primero ejecuta CLIENT LIST, que muestra las conexiones del cliente en orden de antigüedad. Luego, puedes ejecutar CLIENT KILL
para finalizar la conexión deseada.
Seguridad y privacidad
La autenticación de IAM te ayuda a garantizar que tu instancia de Valkey esté solo pueden acceder las principales autorizadas de IAM. La encriptación TLS es no se proporcionó, a menos que haya encriptación en tránsito habilitado. Por este motivo, se recomienda que la encriptación en tránsito activar cuando se use la autenticación de IAM.
Cómo conectarse con una VM de Compute Engine
Si usas una VM de Compute Engine para conectarte a una instancia que use autenticación de IAM, debes habilitar los siguientes permisos de acceso y APIs para tu proyecto:
Alcance de la API de Cloud Platform. Si quieres obtener instrucciones para habilitar este permiso, consulta Vincula la cuenta de servicio y actualiza el permiso de acceso. Para obtener una descripción de las prácticas recomendadas relacionadas con este permiso de acceso, consulta Prácticas recomendadas sobre permisos.
API de Memorystore para Valkey. Para obtener un vínculo que te permita habilitar la API, haz clic en el siguiente botón:
Memorystore para Valkey