Sobre a autenticação do IAM

O Memorystore oferece o recurso de autenticação do IAM que aproveita o Identity and Access Management (IAM) para ajudar você a gerenciar melhor o acesso de login para usuários e contas de serviço. Baseada em IAM se integra ao Valkey AUTH, permitindo que você alterne perfeitamente (tokens do IAM) sem depender de senhas estáticas.

Para instruções sobre como configurar a autenticação do IAM para sua instância do Memorystore, consulte Gerenciar a autenticação do IAM.

Autenticação do IAM para o Valkey

Ao usar a autenticação do IAM, a permissão para acessar uma instância do Memorystore não é concedida diretamente ao usuário final. Em vez disso, as permissões são agrupadas em papéis, que são concedidos a principais. Para mais informações, consulte a Visão geral do IAM.

Os administradores que autenticam com o IAM podem usar Autenticação do IAM no Memorystore para gerenciar centralmente o controle de acesso a instâncias usando políticas do IAM. As políticas do IAM envolvem as seguintes entidades:

  • Principais. No Memorystore, é possível usar dois tipos de principais: uma conta de usuário e uma conta de serviço (para aplicativos). Outros tipos principais, como grupos do Google, domínios do Google Workspace ou domínios do Cloud Identity, para a autenticação do IAM. Para mais informações, consulte Conceitos relacionados à identidade.

  • Papéis. Para a autenticação do IAM do Memorystore, um usuário precisa da permissão memorystore.instances.connect para se autenticar com uma instância. Para ter essa permissão, vincule a conta de usuário ou de serviço ao Usuário de conexão do Memorystore DB predefinido (roles/memorystore.dbConnectionUser). Para mais informações sobre Para papéis do IAM, consulte Papéis.

  • Recursos. Os recursos que os principais acessam são o Memorystore instâncias. Por padrão, as vinculações de políticas do IAM são aplicadas para envolvidos no projeto, de modo que os principais recebam permissões de papéis para todos instâncias do Memorystore no projeto. No entanto, as vinculações de políticas do IAM podem ser restritas a uma instância específica. Para instruções, consulte Gerenciar permissões para a autenticação do IAM.

Comando AUTH da Valkey

O recurso de autenticação do IAM usa o comando Valkey AUTH para se integrar ao IAM, permitindo que os clientes forneçam um token de acesso do IAM que será verificado pela instância do Valkey antes de permitir o acesso aos dados.

Como todo comando, o comando AUTH é enviado não criptografado, a menos que a Criptografia em trânsito esteja ativada.

Para ver um exemplo da aparência do comando AUTH, consulte Como se conectar a uma instância do Valkey que usa a autenticação do IAM.

Período do token de acesso do IAM

O token de acesso do IAM que você recupera como parte da autenticação expira uma hora depois de ser recuperado por padrão. Como alternativa, você pode definir o tempo de expiração do token de acesso ao Gerar o token de acesso. Um token válido precisa ser apresentado pelo comando AUTH ao estabelecer uma nova conexão da Valkey. Se o token tiver expirado, você vai precisar de um novo token de acesso para estabelecer novas conexões.

Como encerrar uma conexão autenticada

Se você quiser encerrar a conexão, use o comando CLIENT KILL do Valkey. Para encontrar a conexão que você quer encerrar, primeiro execute CLIENT LIST, que retorna as conexões de cliente em ordem de idade. Depois, é possível executar CLIENT KILL para encerrar a conexão desejada.

Segurança e privacidade

A autenticação do IAM ajuda a garantir que a instância Valkey seja acessível apenas por principais do IAM autorizados. A criptografia TLS não é fornecida, a menos que a Criptografia em trânsito esteja ativada. Por esse motivo, é recomendável ativar a criptografia em trânsito ao usar a autenticação do IAM.

Como se conectar a uma VM do Compute Engine

Se você estiver usando uma VM do Compute Engine para se conectar a uma instância que usa a autenticação do IAM, ative os escopos de acesso e as APIs a seguir no projeto: