מידע על אימות ב-IAM

‫Memorystore מספק את תכונת האימות של ניהול זהויות והרשאות גישה (IAM), שממנפת את IAM כדי לעזור לכם לנהל טוב יותר את גישת הכניסה למשתמשים ולחשבונות שירות. אימות מבוסס-IAM משתלב עם Valkey AUTH, ומאפשר להחליף בצורה חלקה את פרטי הכניסה (טוקנים של IAM) בלי להסתמך על סיסמאות סטטיות.

הוראות להגדרת אימות IAM למופע Memorystore זמינות במאמר ניהול אימות IAM.

אימות IAM ל-Valkey

כשמשתמשים באימות IAM, הרשאת הגישה למופע Memorystore לא ניתנת ישירות למשתמש הקצה. במקום זאת, ההרשאות מקובצות בתפקידים, והתפקידים ניתנים לחשבונות משתמשים. מידע נוסף זמין במאמר סקירה כללית של IAM.

אדמינים שעוברים אימות באמצעות IAM יכולים להשתמש באימות IAM ב-Memorystore כדי לנהל באופן מרכזי את בקרת הגישה למופעים שלהם באמצעות כללי מדיניות של IAM. כללי מדיניות של IAM כוללים את הישויות הבאות:

  • חשבונות משתמש. ב-Memorystore, אפשר להשתמש בשני סוגים של חשבונות: חשבון משתמש וחשבון שירות (לאפליקציות). סוגים אחרים של חשבונות ראשיים, כמו קבוצות Google, דומיינים של Google Workspace או דומיינים של Cloud Identity, עדיין לא נתמכים באימות IAM. מידע נוסף זמין במאמר מושגים שקשורים לזהות.

  • תפקידים. כדי לבצע אימות ב-IAM של Memorystore, המשתמש צריך את ההרשאה memorystore.instances.connect. כדי לקבל את ההרשאה הזו, אפשר לקשר את המשתמש או את חשבון השירות לתפקיד המוגדר מראש Memorystore DB Connection User ‏(roles/memorystore.dbConnectionUser). מידע נוסף על תפקידים ב-IAM זמין במאמר תפקידים.

  • משאבים. המשאבים שחשבונות המשתמשים ניגשים אליהם הם מופעים של Memorystore. כברירת מחדל, צירופי מדיניות IAM מוחלים ברמת הפרויקט, כך שחשבונות משתמשים מקבלים הרשאות תפקיד לכל מופעי Memorystore בפרויקט. עם זאת, אפשר להגביל את הקישורים של מדיניות IAM למופע מסוים. הוראות מפורטות זמינות במאמר ניהול הרשאות לאימות IAM.

פקודת אימות (AUTH) של Valkey

תכונת האימות של IAM משתמשת בפקודה Valkey AUTH כדי לבצע אינטגרציה עם IAM, וכך מאפשרת ללקוחות לספק אסימון גישה של IAM שיאומת על ידי מופע Valkey לפני שתתאפשר גישה לנתונים.

כמו כל פקודה, הפקודה AUTH נשלחת ללא הצפנה, אלא אם מופעלת האפשרות הצפנה בזמן ההעברה.

דוגמה לאופן שבו פקודת ה-AUTH יכולה להיראות מופיעה במאמר התחברות למופע שמשתמש באימות IAM.

מסגרת הזמן של טוקן גישה ב-IAM

כברירת מחדל, תוקף האסימון לגישה ל-IAM שמאוחזר כחלק מהאימות פג שעה אחרי שהוא מאוחזר. לחלופין, כשיוצרים את אסימון הגישה, אפשר להאריך את תוקף האסימון עד ל-12 שעות.

כשמקימים חיבור חדש ל-Valkey, צריך להציג אסימון גישה תקין באמצעות הפקודה AUTH. אם תוקף האסימון פג, צריך לקבל אסימון חדש כדי להקים חיבורים חדשים. עם זאת, אם כבר אימתתם חיבור קיים, הוא ימשיך לפעול גם אם תוקף האסימון פג.

סיום חיבור מאומת

כדי לסיים חיבור, משתמשים בפקודה CLIENT KILL של Valkey. קודם מריצים את הפקודה CLIENT LIST כדי לזהות את החיבור, ואז מריצים את הפקודה CLIENT KILL כדי לסיים אותו.

הפעלת אימות IAM

הפעלת אימות IAM לא פוגעת בביצועים במצב יציב. עם זאת, היא משפיעה על קצב יצירת החיבור.

הפעלת אימות IAM מגבילה את קצב החיבורים של הלקוחות שנוצרים בכל שנייה. הסיבה לכך היא שאימות IAM ב-Google Cloud צריך לאמת כל חיבור חדש. במצב יציב, אפליקציה מאפשרת מאגרי חיבורים, כך שההשפעה הזו זניחה. עם זאת, כשמפעילים מחדש או פורסים אפליקציות לקוח, יכול להיות שיהיה גל של חיבורים חדשים. אם מעדכנים את הלקוחות בהדרגה ומיישמים השהיה מעריכית לפני ניסיון חוזר (exponential backoff), אפשר לספוג את הקצב המופחת הזה.

כדי לראות דוגמת קוד שמראה איך להשתמש באימות IAM, אפשר לעיין במאמר בנושא דוגמת קוד לאימות IAM ולהצפנה במעבר.

אבטחה ופרטיות

אימות IAM עוזר לוודא שרק חשבונות משתמשים מורשים ב-IAM יכולים לגשת למופע Valkey. הצפנת TLS לא מסופקת אלא אם מפעילים את הצפנה בזמן ההעברה. לכן מומלץ להפעיל את ההצפנה בנתונים בזמן העברה כשמשתמשים באימות IAM.

התחברות באמצעות מכונה וירטואלית ב-Compute Engine

אם אתם משתמשים במכונה וירטואלית ב-Compute Engine כדי להתחבר למופע שמשתמש באימות IAM, אתם צריכים להפעיל את היקפי הגישה ואת ממשקי ה-API הבאים בפרויקט: