Identity and Access Management(IAM)認証に加えて、 基本的なトークンベースの認証を使用して、Memorystore for Redis Cluster のクラスタへのアクセスを保護できます 。軽量ソリューションとして、基本的なトークンベースの認証を使用すると、クライアントはトークンを使用してアプリケーション内で ID を確認できます。
基本的なトークンベースの認証では、リソース要件が最小限で、リソースのオーバーヘッドが少なくなります。また、Memorystore for Redis またはオンプレミス アプリケーションの現在のワークロードで基本的なトークンベースの認証がすでに使用されている場合、この機能を使用すると、Memorystore for Redis Cluster への移行をスムーズに行うことができます。
特典
基本的なトークンベースの認証を使用すると、次のようなメリットがあります。
- 柔軟性: 新しいクラスタと既存のクラスタで、いつでも認証を有効にできます。基本的なトークンベースの認証を有効にすると、クラスタが保護されます。新しい接続の場合、ユーザーはクラスタに認証するためのトークンを提供する必要があります。
- ダウンタイムなしのローテーション: アプリケーションにダウンタイムを引き起こすことなく、ユーザー トークンをローテーションできます。
- 互換性:
defaultスーパーユーザーは、このユーザーに付与された権限と同じ権限を維持します。基本的なトークンベースの認証により、保護が強化されます。これにより、Memorystore for Redis から Memorystore for Redis Cluster にワークロードを移行する際の下位互換性が確保されます。
認証モード
基本的なトークンベースの認証では、次の 2 つの主な認証モードがサポートされています。
- シンプルな認証: ユーザーが
認証トークンを送信して、
defaultユーザーとして認証する簡単な方法 - マルチユーザー認証: 複数のユーザーを管理して、アクセスを認証する クラスタへの
ベスト プラクティス
セキュリティ上の理由から、基本的なトークンベースの認証には次のベスト プラクティスを使用することをおすすめします。
- ユーザー トークンをローテーションする: ユーザー トークンにローテーション ポリシーを使用します 。
Secret Manager を使用する: ユーザーの基本的なトークンベースの 認証情報をアプリケーション コードにハードコードしないでください。代わりに、 Secret Manager に保存して、 実行時に取得します。
Secret Manager は、ユーザー認証情報の一元化された暗号化された保管場所を提供します。これにより、シークレットの拡散を排除し、認証情報を手動で管理する運用上のオーバーヘッドを削減できます。IAM を使用してアクセス制御を適用し、監査ログを自動的に生成します。これにより、コンプライアンスが確保され、認証情報の漏洩を防ぐことができます。
基本的なトークンベースの認証と Transport Layer Security(TLS)を組み合わせる: 基本的なトークンベースの認証を使用する場合は、転送中の暗号化を有効にすることをおすすめします。これにより、ユーザー名とトークンがネットワーク上で平文で送信されることがなくなります。
始める前に
基本的なトークンベースの認証を使用してクラスタを保護する前に、このセクションの前提条件を満たしてください。
クライアントが基本的なトークンベースの認証をサポートしていることを確認する
クライアント アプリケーションが基本的なトークンベースの認証をサポートできることを確認するには、アプリケーションで AUTH コマンドを使用できることを確認します。
default ユーザーは、次のコマンドを使用してクライアント アプリケーションを認証します。
AUTH TOKEN
このコマンドでは、TOKEN はデフォルト ユーザーの認証トークンです。
他のすべてのユーザーは、次のコマンドを使用して認証します。
AUTH USERNAME TOKEN
このコマンドでは、USERNAME と TOKEN はユーザーの ユーザー名と認証トークンです。
AUTH コマンドの詳細については、Redis ドキュメントの AUTH
をご覧ください。
コンソール、Google Cloud CLI、API を使用する Google Cloud
コンソール、gcloud CLI、API を使用する手順は次のとおりです。 Google Cloud
- コンソールのプロジェクト セレクタ ページで、プロジェクトを選択または 作成します。 Google Cloud Google Cloud
- プロジェクトに対して課金が有効になっていることを確認します。プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
Google Cloud CLI(gcloud CLI)をインストールして初期化します。
注: gcloud CLI をインストールした場合は、
gcloud components updateを実行して、最新バージョンがインストールされていることを確認してください。Memorystore for Redis Cluster の gcloud CLI コマンドを利用するには、少なくとも gcloud CLI バージョン489.0.0が必要です。-
Memorystore for Redis Cluster API を有効にします。
Memorystore for Redis Cluster API -
Network Connectivity API を有効にします。
Network Connectivity API -
Service Consumer Management API を有効にします。
Service Consumer Management API
ロールを割り当てる
クラスタの基本的なトークンベースの認証を構成するには、 次のいずれかの IAM ロール が Google Cloud プロジェクトに必要です。
roles/redis.admin(Redis 管理者ロール)roles/owner(オーナーロール)roles/editor(編集者ロール)
クラスタの基本的なトークンベースの認証を管理する
Memorystore for Redis Cluster は、クラスタの基本的なトークンベースの認証を管理するために次のアクションをサポートしています。
- 基本的なトークンベースの認証を使用してクラスタを作成する
- クラスタの基本的なトークンベースの認証を有効にする
- クラスタの基本的なトークンベースの認証ユーザーを作成する
- クラスタの基本的なトークンベースの認証ユーザーを一覧表示する
- 基本的なトークンベースの認証ユーザーに関する情報を表示する
- クラスタから基本的なトークンベースの認証ユーザーを削除する
基本的なトークンベースの認証を使用してクラスタを作成する
基本的なトークンベースの認証を使用してクラスタを作成すると、ユーザーのクラスタへのアクセスを制限する軽量で広くサポートされている方法を利用できます。
クラスタは、gcloud CLI を使用して作成できます。
基本的なトークンベースの認証が有効になっているクラスタを作成するには、
gcloud beta redis clusters create
コマンドを使用します。
gcloud beta redis clusters create CLUSTER_ID \ --region=REGION \ --auth-mode=token-auth
次のように置き換えます。
- CLUSTER_ID: 基本的なトークンベースの認証を使用するために作成するクラスタの ID
- REGION: クラスタを配置するリージョン
クラスタの基本的なトークンベースの認証を有効にする
クラスタの基本的なトークンベースの認証を有効にすると、ユーザーのクラスタへのアクセスを制限する軽量で広くサポートされている方法を利用できます。
default ユーザーは、トークンのみを使用してクラスタを認証できます。他のすべてのユーザーは、標準のユーザー名とトークンを使用して認証します。詳細については、クライアントが基本的なトークンベースの認証をサポートしていることを確認するをご覧ください。
Memorystore for Redis Cluster では認証されたリクエストが必要なため、基本的なトークンベースの認証を有効にすると、新しい接続を作成しようとするアプリケーションでダウンタイムが発生する可能性があります。既存の接続は影響を受けませんが、クラスタへの以降の接続試行で基本的なトークンベースの認証を使用するには、アプリケーションを更新する必要があります。詳細については、基本的なトークンベースの認証を使用してクラスタに接続するをご覧ください。
gcloud CLI を使用して、クラスタの基本的なトークンベースの認証を有効にできます。
基本的なトークンベースの認証を有効にするには、gcloud beta redis clusters update コマンドを使用します。
gcloud beta redis clusters update CLUSTER_ID \ --region=REGION \ --auth-mode=token-auth
次のように置き換えます。
- CLUSTER_ID: 基本的なトークンベースの認証を有効にするクラスタの ID
- REGION: クラスタが配置されているリージョン
クラスタの基本的なトークンベースの認証ユーザーを作成する
クラスタの基本的なトークンベースの認証ユーザーを作成すると、マルチユーザー認証を許可するようにクラスタが構成されます。ユーザーが最初にログインすると、この認証モードは新しい接続の安全で取り消し可能な認証情報として機能します。ユーザーは、認証トークンを削除するか、ユーザーが削除されるまで、認証トークンを引き続き使用できます。
基本的なトークンベースの認証ユーザーは、gcloud CLI を使用して作成できます。
ユーザーを作成するには、gcloud beta redis clusters create-token-auth-user コマンドを使用します。
gcloud beta redis clusters create-token-auth-user CLUSTER_ID \ --region=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- CLUSTER_ID: 基本的なトークンベースの認証ユーザーを作成するクラスタの ID
- REGION: クラスタが配置されているリージョン
- USERNAME: ユーザーのユーザー名
クラスタの基本的なトークンベースの認証ユーザーを一覧表示する
gcloud CLI を使用して、クラスタの基本的なトークンベースの認証ユーザーのリストを取得できます 。
ユーザーを一覧表示するには、gcloud beta redis clusters token-auth-users list コマンドを使用します。
gcloud beta redis clusters token-auth-users list \ --cluster=CLUSTER_ID \ --region=REGION
次のように置き換えます。
- CLUSTER_ID: 基本的なトークンベースの認証ユーザーの リストを取得するクラスタの ID。
- REGION: クラスタが配置されているリージョン
基本的なトークンベースの認証ユーザーに関する情報を表示する
gcloud CLI を使用して、基本的なトークンベースの認証ユーザーに関する情報を表示できます。
ユーザーに関する情報を表示するには、gcloud beta redis clusters token-auth-users describe コマンドを使用します。
gcloud beta redis clusters token-auth-users describe USERNAME \ --cluster=CLUSTER_ID \ --region=REGION
次のように置き換えます。
- USERNAME: 情報を表示する基本的なトークンベースの認証ユーザー のユーザー名
- CLUSTER_ID: ユーザーが認証できるクラスタの ID
- REGION: クラスタが配置されているリージョン
クラスタから基本的なトークンベースの認証ユーザーを削除する
クラスタから基本的なトークンベースの認証ユーザーを削除すると、ユーザーのクラスタへのアクセス権が取り消されます。
gcloud CLI を使用して、クラスタから基本的なトークンベースの認証ユーザーを削除できます。
ユーザーを削除するには、gcloud beta redis clusters token-auth-users delete コマンドを使用します。
gcloud beta redis clusters token-auth-users delete USERNAME \ --cluster=CLUSTER_ID \ --region=REGION
次のように置き換えます。
- USERNAME: 基本的なトークンベースの認証ユーザーのユーザー名
- CLUSTER_ID: ユーザーを削除するクラスタの ID
- REGION: クラスタが配置されているリージョン
削除するユーザーの場合、Memorystore for Redis Cluster は既存の接続を終了しません。これらの接続を終了するには、クラスタ内のすべてのノードで次のコマンドを実行します。
CLIENT KILL USER USERNAME
ユーザーの基本的なトークンベースの認証を管理する
Memorystore for Redis Cluster は、ユーザーの基本的なトークンベースの認証を管理するために次のアクションをサポートしています。
ユーザーの認証トークンを作成する
ユーザーの認証トークンを作成すると、ユーザーの既存のトークンをアプリケーションのダウンタイムを引き起こすことなく、ローテーション できます。
gcloud CLI を使用して、ユーザーの認証トークンを作成できます。
ユーザーを作成するには、gcloud beta redis clusters token-auth-users create-auth-token コマンドを使用します。
gcloud beta redis clusters token-auth-users create-auth-token USERNAME \ --cluster=CLUSTER_ID \ --region=REGION
次のように置き換えます。
- USERNAME: 認証トークンを作成するユーザーの ユーザー名
- CLUSTER_ID: ユーザーがトークンを使用してアクセスできるクラスタの ID
- REGION: クラスタが配置されているリージョン
ユーザーの認証トークンを一覧表示する
gcloud CLI を使用して、ユーザーの認証トークンのリストを取得できます。
トークンを一覧表示するには、gcloud beta redis clusters token-auth-users auth-tokens list コマンドを使用します。
gcloud beta redis clusters token-auth-users auth-tokens list \ --token-auth-user=USERNAME \ --cluster=CLUSTER_ID \ --region=REGION
次のように置き換えます。
- USERNAME: 認証トークンが属するユーザーのユーザー名
- CLUSTER_ID: ユーザーが認証トークンを使用して アクセスできるクラスタの ID
- REGION: クラスタが配置されているリージョン
ユーザーの認証トークンに関する情報を表示する
gcloud CLI を使用して、ユーザーの認証トークンに関する情報を表示できます。
情報を表示するには、gcloud beta redis clusters token-auth-users auth-tokens describe
コマンドを使用します。
gcloud beta redis clusters token-auth-users auth-tokens describe AUTH_TOKEN \ --cluster=CLUSTER_ID \ --region=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- AUTH_TOKEN: 情報を表示する認証トークンの名前
- CLUSTER_ID: ユーザーがトークンを使用してアクセスできるクラスタの ID
- REGION: クラスタが配置されているリージョン
- USERNAME: 認証トークンが属するユーザーのユーザー名
ユーザーから認証トークンを削除する
ユーザーから認証トークンを削除することは、トークンを無効にする重要なセキュリティ アクションです。
gcloud CLI を使用して、ユーザーから認証トークンを削除できます。
トークンを削除するには、gcloud beta redis clusters token-auth-users auth-tokens delete コマンドを使用します。
gcloud beta redis clusters token-auth-users auth-tokens delete AUTH_TOKEN \ --cluster=CLUSTER_ID \ --region=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- AUTH_TOKEN: ユーザーから削除する認証トークンの名前
- CLUSTER_ID: トークンを削除してユーザーがアクセスできないようにするクラスタの ID
- REGION: クラスタが配置されているリージョン
- USERNAME: 削除したいトークンを持つユーザーのユーザー名
基本的なトークンベースの認証を使用してクラスタに接続する
基本的なトークンベースの認証を使用してクラスタに接続するには、次の方法を使用します。
- Uniform Resource Identifier(URI)文字列: 必要な接続情報(ユーザーのユーザー名とトークン、クラスタの IP アドレスとホスト名など)が 1 つの文字列に含まれているため、この単一の形式の文字列は便利です。
- フラグ: この方法は、個々のコマンドライン ツール での使用、スクリプト作成、または複数の個別の引数を使用して構成が 個別の環境変数に分割される環境に適しています。
以降のセクションでは、各接続方法について説明します。
URI 文字列を使用する
URI 文字列を使用して Compute Engine VM または サポートされている環境から接続するには、次のコマンドを使用します。
redis-cli -u redis://USERNAME:TOKEN@IP_ADDRESS:PORT
次のように置き換えます。
- USERNAME: クラスタに接続しようとしているユーザーのユーザー名
- TOKEN: ユーザーの認証トークン
- IP_ADDRESS: クラスタの IP アドレス
- PORT: クラスタ用に予約されているポート番号
フラグを使用する
フラグを使用して Compute Engine VM またはサポートされている環境から接続するには、次のコマンドを使用します。
redis-cli --user USERNAME -a TOKEN -h IP_ADDRESS -p PORT
次のように置き換えます。
- USERNAME: クラスタに接続しようとしているユーザーのユーザー名
- TOKEN: ユーザーの認証トークン
- IP_ADDRESS: クラスタの IP アドレス
- PORT: クラスタ用に予約されているポート番号
ダウンタイムなしでユーザーの認証トークンをローテーションする
アプリケーションのダウンタイムを引き起こすことなく、ユーザーの認証トークンをローテーションする手順は次のとおりです。
- ユーザーの追加の認証トークンを作成する: Memorystore for Redis Cluster は、2 つ目の有効なトークンを生成します。どちらのトークンも有効です。
- アプリケーションを更新する: 新しいトークンを使用するようにアプリケーションを更新します。
- **ユーザーの認証トークンを削除する**: Memorystore for Redis Cluster は最初のトークンを削除します。ユーザーは 2 つ目のトークンのみを使用してアプリケーションを認証できます。
基本的なトークンベースの認証のアクセスログ
Memorystore for Redis Cluster は、認証トークンとユーザーに関連するオペレーションの管理アクティビティ監査ログとデータアクセス監査ログを生成します。これらの監査ログの詳細については、監査ログを使用してアクセスをモニタリングするをご覧ください。