Tentang autentikasi IAM

Memorystore menyediakan fitur autentikasi Identity and Access Management (IAM) yang memanfaatkan IAM untuk membantu Anda mengelola akses login bagi pengguna dan akun layanan dengan lebih baik. Autentikasi berbasis IAM terintegrasi dengan AUTH Valkey, sehingga Anda dapat merotasi kredensial (token IAM) dengan lancar tanpa mengandalkan sandi statis.

Untuk mengetahui petunjuk tentang cara menyiapkan autentikasi IAM untuk instance Memorystore, lihat Mengelola autentikasi IAM.

Autentikasi IAM untuk Valkey

Saat menggunakan autentikasi IAM, izin untuk mengakses instance Memorystore tidak diberikan langsung kepada pengguna akhir. Sebagai gantinya, izin dikelompokkan ke dalam peran, dan peran diberikan kepada akun utama. Untuk mengetahui informasi selengkapnya, lihat Ringkasan IAM.

Administrator yang melakukan autentikasi dengan IAM dapat menggunakan autentikasi IAM Memorystore untuk mengelola kontrol akses ke instance mereka secara terpusat menggunakan kebijakan IAM. Kebijakan IAM mencakup entity berikut:

  • Akun utama. Di Memorystore, Anda dapat menggunakan dua jenis akun utama: Akun pengguna, dan akun layanan (untuk aplikasi). Jenis akun utama lainnya, seperti grup Google, domain Google Workspace, atau domain Cloud Identity belum didukung untuk autentikasi IAM. Untuk mengetahui informasi selengkapnya, lihat Konsep yang terkait dengan identitas.

  • Peran. Untuk autentikasi IAM Memorystore, pengguna memerlukan izin memorystore.instances.connect untuk melakukan autentikasi dengan instance. Untuk mendapatkan izin ini, Anda dapat mengikat pengguna atau akun layanan ke peran bawaan Memorystore DB Connection User (roles/memorystore.dbConnectionUser). Untuk mengetahui informasi selengkapnya tentang peran IAM, lihat Peran.

  • Resource. Resource yang diakses utama adalah instance Memorystore. Secara default, binding kebijakan IAM diterapkan di level project, sehingga akun utama menerima izin peran untuk semua instance Memorystore dalam project. Namun, binding kebijakan IAM dapat dibatasi untuk instance tertentu. Untuk mengetahui petunjuknya, lihat Mengelola izin untuk autentikasi IAM.

Perintah AUTH Valkey

Fitur autentikasi IAM menggunakan perintah AUTH Valkey untuk berintegrasi dengan IAM, sehingga klien dapat memberikan token akses IAM yang akan diverifikasi oleh instance Valkey sebelum mengizinkan akses ke data.

Seperti setiap perintah, perintah AUTH dikirim tanpa dienkripsi kecuali jika Enkripsi Dalam Perjalanan diaktifkan.

Untuk mengetahui contoh tampilan perintah AUTH, lihat Menghubungkan ke instance yang menggunakan autentikasi IAM.

Rentang waktu token akses IAM

Masa berlaku token akses IAM yang Anda ambil sebagai bagian dari autentikasi akan berakhir 1 jam setelah diambil secara default. Atau, Anda dapat menentukan waktu habis masa berlaku token akses saat Membuat token akses. Token yang valid harus diberikan melalui perintah AUTH saat membuat koneksi Valkey baru. Jika masa berlaku token telah habis, Anda harus mendapatkan token akses baru untuk membuat koneksi baru.

Mengakhiri koneksi yang diautentikasi

Untuk mengakhiri koneksi, gunakan perintah Valkey CLIENT KILL. Pertama, jalankan CLIENT LIST untuk mengidentifikasi koneksi, lalu jalankan CLIENT KILL untuk mengakhirinya.

Mengaktifkan autentikasi IAM

Mengaktifkan autentikasi IAM tidak menurunkan performa steady state. Namun, hal ini memengaruhi kecepatan Anda dalam membuat koneksi.

Mengaktifkan autentikasi IAM membatasi kecepatan koneksi klien yang dibuat setiap detik. Hal ini karena autentikasi IAM Google Cloud harus mengautentikasi setiap koneksi baru. Dalam kondisi stabil, aplikasi mengaktifkan kumpulan koneksi sehingga dampaknya dapat diabaikan. Namun, saat aplikasi klien dimulai ulang atau di-deploy, mungkin ada lonjakan koneksi baru. Jika Anda memperbarui klien secara bertahap dan menerapkan backoff eksponensial, Anda dapat menyerap penurunan tarif ini.

Untuk melihat contoh kode tentang cara menggunakan autentikasi IAM, lihat Contoh kode untuk autentikasi IAM dan enkripsi saat transit.

Keamanan dan privasi

Autentikasi IAM membantu Anda memastikan bahwa instance Valkey Anda hanya dapat diakses oleh akun utama IAM yang diizinkan. Enkripsi TLS tidak disediakan kecuali jika Enkripsi saat Pengiriman diaktifkan. Oleh karena itu, sebaiknya Enkripsi Dalam Perjalanan diaktifkan saat menggunakan autentikasi IAM.

Menghubungkan dengan VM Compute Engine

Jika Anda menggunakan VM Compute Engine untuk Menghubungkan ke instance yang menggunakan autentikasi IAM, Anda harus mengaktifkan cakupan akses dan API berikut untuk project Anda: