Identity and Access Management(IAM)認証に加えて、基本的なトークンベースの認証を使用して、Memorystore for Valkey インスタンスへのアクセスを保護できます。軽量ソリューションとして、基本的なトークンベースの認証を使用すると、クライアントはトークンを使用してアプリケーション内で身元を確認できます。
基本的なトークンベースの認証では、リソース要件が最小限で、リソース オーバーヘッドが低くなります。また、Memorystore for Redis またはオンプレミス アプリケーションの現在のワークロードで、すでに基本トークンベースの認証を使用している場合、この機能を使用すると、Memorystore for Valkey に移行する際にスムーズに移行できます。
利点
基本的なトークンベースの認証を使用すると、次のメリットがあります。
- 柔軟性: 新規および既存のインスタンスで、いつでも認証を有効にできます。基本的なトークンベースの認証を有効にすると、インスタンスが保護されます。新しい接続では、ユーザーはインスタンスに認証するための認証トークンを指定する必要があります。
- ダウンタイムなしのローテーション: アプリケーションのダウンタイムを発生させることなく、ユーザー トークンをローテーションします。
- 互換性:
defaultスーパーユーザーは、このユーザーに付与された権限を維持します。基本的なトークンベースの認証により、保護レイヤが追加されます。これにより、Memorystore for Redis から Memorystore for Valkey にワークロードを移行する際の下位互換性が確保されます。
認証モード
基本的なトークンベースの認証では、次の 2 つの主な認証モードがサポートされています。
- シンプルな認証: ユーザーが認証トークンを送信して
defaultユーザーとして認証する簡単な方法 - マルチユーザー認証: 複数のユーザーを管理して、インスタンスへのアクセスを認証します。
ベスト プラクティス
セキュリティ上の理由から、基本トークンベース認証には次のベスト プラクティスを使用することをおすすめします。
- ユーザー トークンをローテーションする: ユーザー トークンにローテーション ポリシーを使用します。
Secret Manager を使用する: ユーザーの基本的なトークンベースの認証情報をアプリケーション コードにハードコードしないでください。代わりに、Secret Manager に保存し、実行時に取得します。
Secret Manager は、ユーザー認証情報用の一元化された暗号化された Vault を提供します。これにより、シークレット スプロールが解消され、認証情報を手動で管理する運用オーバーヘッドが軽減されます。IAM を使用してアクセス制御を適用し、監査ログを自動的に生成します。これにより、コンプライアンスが確保され、認証情報の漏洩を防ぐことができます。
基本的なトークンベースの認証と Transport Layer Security(TLS)を組み合わせる: 基本的なトークンベースの認証を使用する場合は、転送中の暗号化を有効にすることをおすすめします。これにより、ユーザー名と認証トークンがネットワーク経由でプレーン テキストで送信されることはありません。
始める前に
基本的なトークンベースの認証を使用してインスタンスの保護を開始する前に、このセクションの前提条件を満たしてください。
基本的なトークンベースの認証に対するクライアントのサポートを確認する
クライアント アプリケーションが基本的なトークンベースの認証をサポートしていることを確認するには、アプリケーションが AUTH コマンドを使用できることを確認します。
default ユーザーは、次のコマンドを使用してクライアント アプリケーションに対して認証を行います。
AUTH TOKEN
このコマンドで、TOKEN はデフォルト ユーザーの認証トークンです。
他のすべてのユーザーは、次のコマンドを使用して認証します。
AUTH USERNAME TOKEN
このコマンドでは、USERNAME と TOKEN はユーザーのユーザー名と認証トークンです。
AUTH コマンドの詳細については、Valkey ドキュメントの AUTH をご覧ください。
Google Cloud コンソール、Google Cloud CLI、API を使用する
Google Cloud コンソール、gcloud CLI、API を使用するには、次の操作を行います。
- Google Cloud コンソールのプロジェクト セレクタ ページで、 Google Cloud プロジェクトを選択または作成します。
- プロジェクトに対して課金が有効になっていることを確認します。プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
Google Cloud CLI(gcloud CLI)をインストールして初期化します。
注: gcloud CLI をインストールした場合は、
gcloud components updateを実行して、最新バージョンがインストールされていることを確認してください。Memorystore for Valkey の gcloud CLI コマンドにアクセスするには、少なくとも gcloud CLI バージョン489.0.0が必要です。-
Memorystore for Valkey API を有効にします。
Memorystore for Valkey API -
Network Connectivity API を有効にします。
Network Connectivity API -
Service Consumer Management API を有効にします。
Service Consumer Management API
ロールを割り当てる
インスタンスの基本トークンベースの認証を構成するには、 Google Cloud プロジェクトに次のいずれかの IAM ロールが必要です。
roles/memorystore.admin(Memorystore 管理者ロール)roles/owner(オーナーのロール)roles/editor(編集者のロール)
インスタンスの基本的なトークンベースの認証を管理する
Memorystore for Valkey は、インスタンスの基本トークンベースの認証を管理するために次のアクションをサポートしています。
- 基本的なトークンベースの認証を使用してインスタンスを作成する
- インスタンスで基本トークンベースの認証を有効にする
- インスタンスの基本的なトークンベースの認証ユーザーを作成する
- インスタンスの基本的なトークンベースの認証ユーザーを一覧表示する
- 基本トークンベースの認証ユーザーに関する情報を表示する
- インスタンスから基本トークン ベースの認証ユーザーを削除する
基本トークンベースの認証を使用してインスタンスを作成する
基本的なトークンベースの認証を使用してインスタンスを作成すると、ユーザーのインスタンスへのアクセスを制限するための軽量で広くサポートされている方法を利用できます。
インスタンスは gcloud CLI を使用して作成できます。
基本トークンベースの認証が有効になっているインスタンスを作成するには、gcloud beta memorystore instances create コマンドを使用します。
gcloud beta memorystore instances create INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
次のように置き換えます。
- INSTANCE_ID: 基本トークンベースの認証を使用するために作成するインスタンスの ID
- REGION: インスタンスを配置するリージョン
インスタンスの基本トークンベースの認証を有効にする
インスタンスの基本トークンベース認証を有効にすると、ユーザーのインスタンスへのアクセスを制限する軽量で広くサポートされている方法を利用できます。
default ユーザーは、トークンのみを使用してインスタンスに対する認証を行うことができます。他のすべてのユーザーは、標準のユーザー名とトークンを使用して認証を行います。詳細については、基本的なトークンベースの認証に対するクライアントのサポートを確認するをご覧ください。
基本トークンベースの認証を有効にすると、新しい接続を作成しようとするアプリケーションでダウンタイムが発生する可能性があります。これは、Memorystore for Valkey で認証済みリクエストが必要になるためです。既存の接続は影響を受けませんが、インスタンスへの後続の接続試行で基本トークンベースの認証を利用するには、アプリケーションを更新する必要があります。詳細については、基本トークンベースの認証を使用してインスタンスに接続するをご覧ください。
gcloud CLI を使用して、インスタンスの基本トークンベースの認証を有効にできます。
基本トークンベースの認証を有効にするには、gcloud beta memorystore instances update コマンドを使用します。
gcloud beta memorystore instances update INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
次のように置き換えます。
- INSTANCE_ID: 基本トークンベースの認証を有効にするインスタンスの ID
- REGION: インスタンスが配置されているリージョン
インスタンスの基本的なトークンベースの認証ユーザーを作成する
インスタンスの基本的なトークンベースの認証ユーザーを作成すると、マルチユーザー認証を許可するようにインスタンスが構成されます。ユーザーが最初にログインすると、この認証モードは新しい接続の安全で取り消し可能な認証情報として機能します。ユーザーは、認証トークンを削除するか、ユーザーが削除されるまで、認証トークンを引き続き使用できます。
gcloud CLI を使用して、基本的なトークンベースの認証ユーザーを作成できます。
ユーザーを作成するには、gcloud beta memorystore instances create-token-auth-user コマンドを使用します。
gcloud beta memorystore instances create-token-auth-user INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- INSTANCE_ID: 基本トークンベースの認証ユーザーを作成するインスタンスの ID
- REGION: インスタンスが配置されているリージョン
- USERNAME: ユーザーのユーザー名
インスタンスの基本トークンベースの認証ユーザーを一覧表示する
gcloud CLI を使用して、インスタンスの基本トークンベースの認証ユーザーのリストを取得できます。
ユーザーを一覧表示するには、gcloud beta memorystore instances token-auth-users list コマンドを使用します。
gcloud beta memorystore instances token-auth-users list \ --instance=INSTANCE_ID \ --location=REGION
次のように置き換えます。
- INSTANCE_ID: 基本トークンベースの認証ユーザーのリストを取得するインスタンスの ID
- REGION: インスタンスが配置されているリージョン
基本トークンベースの認証ユーザーに関する情報を表示する
gcloud CLI を使用して、基本トークンベースの認証ユーザーに関する情報を表示できます。
ユーザーに関する情報を表示するには、gcloud beta memorystore instances token-auth-users describe コマンドを使用します。
gcloud beta memorystore instances token-auth-users describe USERNAME \ --instance=INSTANCE_ID \ --location=REGION
次のように置き換えます。
- USERNAME: 情報を表示する基本トークンベースの認証ユーザーのユーザー名
- INSTANCE_ID: ユーザーが認証できるインスタンスの ID
- REGION: インスタンスが配置されているリージョン
インスタンスから基本トークンベースの認証ユーザーを削除する
インスタンスから基本トークンベースの認証ユーザーを削除すると、そのユーザーのインスタンスへのアクセス権が取り消されます。
gcloud CLI を使用して、インスタンスから基本トークンベースの認証ユーザーを削除できます。
ユーザーを削除するには、gcloud beta memorystore instances token-auth-users delete コマンドを使用します。
gcloud beta memorystore instances token-auth-users delete USERNAME \ --instance=INSTANCE_ID \ --location=REGION
次のように置き換えます。
- USERNAME: 基本トークンベースの認証ユーザーのユーザー名
- INSTANCE_ID: ユーザーを削除するインスタンスの ID
- REGION: インスタンスが配置されているリージョン
削除するユーザーに対して、Memorystore for Valkey は既存の接続を終了しません。これらの接続を終了するには、インスタンス内のすべてのノードで次のコマンドを実行します。
CLIENT KILL USER USERNAME
ユーザーの基本的なトークンベースの認証を管理する
Memorystore for Valkey は、ユーザーの基本トークンベースの認証を管理するために次のアクションをサポートしています。
ユーザーの認証トークンを作成する
ユーザーの認証トークンを作成すると、アプリケーションのダウンタイムを発生させることなく、ユーザーの既存のトークンをローテーションできます。
ユーザーの認証トークンは、gcloud CLI を使用して作成できます。
ユーザーを作成するには、gcloud beta memorystore instances token-auth-users create-auth-token コマンドを使用します。
gcloud beta memorystore instances token-auth-users create-auth-token USERNAME \ --instance=INSTANCE_ID \ --location=REGION
次のように置き換えます。
- USERNAME: 認証トークンを作成するユーザーのユーザー名
- INSTANCE_ID: ユーザーがトークンを使用してアクセスできるインスタンスの ID
- REGION: インスタンスが配置されているリージョン
ユーザーの認証トークンを一覧表示する
ユーザーの認証トークンのリストを取得するには、gcloud CLI を使用します。
トークンを一覧表示するには、gcloud beta memorystore instances token-auth-users auth-tokens list コマンドを使用します。
gcloud beta memorystore instances token-auth-users auth-tokens list \ --token-auth-user=USERNAME \ --instance=INSTANCE_ID \ --location=REGION
次のように置き換えます。
- USERNAME: 認証トークンが属するユーザーのユーザー名
- INSTANCE_ID: 認証トークンを使用してユーザーがアクセスできるインスタンスの ID
- REGION: インスタンスが配置されているリージョン
ユーザーの認証トークンに関する情報を表示する
ユーザーの認証トークンに関する情報は、gcloud CLI を使用して表示できます。
この情報を表示するには、gcloud beta memorystore instances token-auth-users auth-tokens describe コマンドを使用します。
gcloud beta memorystore instances token-auth-users auth-tokens describe AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- AUTH_TOKEN: 情報を表示する認証トークンの名前
- INSTANCE_ID: ユーザーがトークンを使用してアクセスできるインスタンスの ID
- REGION: インスタンスが配置されているリージョン
- USERNAME: 認証トークンが属するユーザーのユーザー名
ユーザーから認証トークンを削除する
ユーザーから認証トークンを削除することは、トークンを無効にする重要なセキュリティ アクションです。
gcloud CLI を使用して、ユーザーから認証トークンを削除できます。
トークンを削除するには、gcloud beta memorystore instances token-auth-users auth-tokens delete コマンドを使用します。
gcloud beta memorystore instances token-auth-users auth-tokens delete AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
次のように置き換えます。
- AUTH_TOKEN: ユーザーから削除する認証トークンの名前
- INSTANCE_ID: トークンを削除してユーザーがアクセスできないようにするインスタンスの ID
- REGION: インスタンスが配置されているリージョン
- USERNAME: 削除するトークンを持つユーザーのユーザー名
基本的なトークンベースの認証を使用してインスタンスに接続する
次の方法を使用して、基本トークンベースの認証でインスタンスに接続できます。
- Uniform Resource Identifier(URI)文字列: 必要な接続情報(ユーザーのユーザー名と認証トークン、インスタンスの IP アドレスとホスト名など)が 1 つの文字列に含まれているため、この単一のフォーマットされた文字列が利便性のために使用されます。
- フラグ: この方法は、個々のコマンドライン ツールの使用、スクリプト、または複数の個別の引数を使用して構成が個別の環境変数に分割される環境に適しています。
以降のセクションでは、各接続方法について説明します。
URI 文字列を使用する
URI 文字列を使用して Compute Engine VM またはサポートされている環境から接続するには、次のコマンドを使用します。
valkey-cli -u redis://USERNAME:TOKEN@IP_ADDRESS:PORT
次のように置き換えます。
- USERNAME: インスタンスに接続しようとしているユーザーのユーザー名
- TOKEN: ユーザーの認証トークン
- IP_ADDRESS: インスタンスの IP アドレス
- PORT: インスタンス用に予約されたポート番号
フラグを使用する
フラグを使用して Compute Engine VM またはサポートされている環境から接続するには、次のコマンドを使用します。
valkey-cli --user USERNAME -a TOKEN -h IP_ADDRESS -p PORT
次のように置き換えます。
- USERNAME: インスタンスに接続しようとしているユーザーのユーザー名
- TOKEN: ユーザーの認証トークン
- IP_ADDRESS: インスタンスの IP アドレス
- PORT: インスタンス用に予約されたポート番号
ゼロ ダウンタイムでユーザーの認証トークンをローテーションする
アプリケーションのダウンタイムを発生させることなくユーザーの認証トークンをローテーションするには、次の操作を行います。
- ユーザーの追加の認証トークンを作成する: Memorystore for Valkey は、2 つ目の有効なトークンを生成します。両方のトークンが有効です。
- アプリケーションを更新する: 新しいトークンを使用するようにアプリケーションを更新します。
- ユーザーの認証トークンを削除する: Memorystore for Valkey は最初のトークンを削除します。ユーザーは 2 番目のトークンのみを使用してアプリケーションに認証できます。
基本トークンベースの認証のアクセスログ
Memorystore for Valkey は、認証トークンとユーザーに関連付けられたオペレーションの管理アクティビティ監査ログとデータアクセス監査ログを生成します。これらの監査ログの詳細については、監査ログを使用してアクセスをモニタリングするをご覧ください。