Selain autentikasi Identity and Access Management (IAM), Anda dapat menggunakan autentikasi berbasis token dasar untuk mengamankan akses ke instance Memorystore for Valkey. Sebagai solusi ringan, autentikasi berbasis token dasar memungkinkan klien memverifikasi identitas mereka dalam aplikasi Anda dengan menggunakan token mereka.
Autentikasi berbasis token dasar memiliki persyaratan resource minimal dan beban resource yang rendah. Selain itu, jika workload Anda saat ini di Memorystore for Redis atau aplikasi lokal Anda sudah menggunakan autentikasi dasar berbasis token, fitur ini akan memfasilitasi transisi yang lancar saat Anda bermigrasi ke Memorystore for Valkey.
Manfaat
Dengan menggunakan autentikasi berbasis token dasar, Anda akan mendapatkan manfaat berikut:
- Fleksibilitas: untuk instance baru dan yang sudah ada, aktifkan autentikasi kapan saja. Saat Anda mengaktifkan autentikasi berbasis token dasar, instance Anda akan aman. Untuk semua koneksi baru, pengguna harus memberikan token autentikasi untuk mengautentikasi ke instance Anda.
- Rotasi tanpa periode nonaktif: merotasi token pengguna tanpa menyebabkan periode nonaktif pada aplikasi Anda.
- Kompatibilitas: pengguna super
defaultmempertahankan hak istimewa yang sama yang diberikan kepada pengguna ini. Autentikasi dasar berbasis token menambahkan lapisan perlindungan ekstra. Hal ini memastikan kompatibilitas mundur saat Anda memigrasikan beban kerja dari Memorystore for Redis ke Memorystore for Valkey.
Mode autentikasi
Autentikasi berbasis token dasar mendukung dua mode autentikasi utama:
- Autentikasi sederhana: metode langsung di mana pengguna mengirimkan token autentikasi untuk mengautentikasi dirinya sebagai pengguna
default - Autentikasi multi-pengguna: mengelola beberapa pengguna untuk mengautentikasi akses ke instance Anda
Praktik terbaik
Untuk tujuan keamanan, sebaiknya gunakan praktik terbaik berikut untuk autentikasi dasar berbasis token:
- Ganti token pengguna: gunakan kebijakan rotasi untuk token pengguna.
Gunakan Secret Manager: jangan menyandikan kredensial autentikasi dasar berbasis token pengguna dalam kode aplikasi Anda. Sebagai gantinya, simpan di Secret Manager dan ambil saat runtime.
Secret Manager menyediakan brankas terenkripsi terpusat untuk kredensial pengguna, yang menghilangkan penyebaran secret dan mengurangi overhead operasional pengelolaan kredensial secara manual. Layanan ini menerapkan kontrol akses menggunakan IAM dan menghasilkan log audit secara otomatis. Hal ini memastikan kepatuhan dan mencegah eksposur kredensial.
Gabungkan autentikasi dasar berbasis token dengan Transport Layer Security (TLS): saat Anda menggunakan autentikasi dasar berbasis token, sebaiknya aktifkan enkripsi dalam transit. Hal ini memastikan bahwa nama pengguna dan token autentikasi tidak dikirim dalam teks biasa melalui jaringan.
Sebelum memulai
Sebelum Anda mulai mengamankan instance menggunakan autentikasi berbasis token dasar, selesaikan prasyarat di bagian ini.
Memverifikasi dukungan klien untuk autentikasi berbasis token dasar
Untuk mengonfirmasi bahwa aplikasi klien Anda dapat mendukung autentikasi
berbasis token dasar, pastikan aplikasi dapat menggunakan perintah AUTH.
Pengguna default mengautentikasi ke aplikasi klien Anda menggunakan
perintah berikut:
AUTH TOKEN
Untuk perintah ini, TOKEN adalah token autentikasi pengguna default.
Semua pengguna lain melakukan autentikasi menggunakan perintah berikut:
AUTH USERNAME TOKEN
Untuk perintah ini, USERNAME dan TOKEN adalah nama pengguna dan token autentikasi pengguna.
Untuk mengetahui informasi selengkapnya tentang perintah AUTH, lihat AUTH
dalam dokumentasi Valkey.
Menggunakan konsol Google Cloud , Google Cloud CLI, dan API
Untuk menggunakan konsol Google Cloud , gcloud CLI, dan API, lakukan hal berikut:
- Di konsol Google Cloud , pada halaman pemilih project, pilih atau buat Google Cloud project.
- Pastikan penagihan diaktifkan untuk project Anda. Pelajari cara memeriksa apakah penagihan telah diaktifkan pada suatu project.
Instal dan lakukan inisialisasi Google Cloud CLI (gcloud CLI).
Catatan: Jika Anda telah menginstal gcloud CLI, pastikan Anda memiliki versi terbaru dengan menjalankan
gcloud components update. Untuk mengakses perintah gcloud CLI Memorystore for Valkey, Anda memerlukan gcloud CLI versi minimal489.0.0.-
Aktifkan Memorystore for Valkey API.
Memorystore for Valkey API -
Aktifkan Network Connectivity API.
Network Connectivity API -
Aktifkan Service Consumer Management API.
Service Consumer Management API
Tetapkan peran
Untuk mengonfigurasi autentikasi berbasis token dasar untuk instance, Anda harus memiliki salah satu peran IAM berikut di project Google Cloud Anda:
roles/memorystore.admin(peran Admin Memorystore)roles/owner(peran Pemilik)roles/editor(peran Editor)
Mengelola autentikasi dasar berbasis token untuk instance
Memorystore for Valkey mendukung tindakan berikut untuk mengelola autentikasi dasar berbasis token untuk instance:
- Membuat instance dengan autentikasi berbasis token dasar
- Mengaktifkan autentikasi berbasis token dasar untuk instance
- Membuat pengguna autentikasi berbasis token dasar untuk instance
- Mencantumkan pengguna autentikasi berbasis token dasar untuk instance
- Melihat informasi tentang pengguna autentikasi berbasis token dasar
- Menghapus pengguna autentikasi berbasis token dasar dari instance
Membuat instance dengan autentikasi berbasis token dasar
Dengan membuat instance dengan autentikasi dasar berbasis token, Anda memiliki metode yang ringan dan didukung secara luas untuk membatasi akses pengguna ke instance.
Anda dapat membuat instance menggunakan gcloud CLI.
Untuk membuat instance yang mengaktifkan autentikasi dasar berbasis token, gunakan perintah
gcloud beta memorystore instances create.
gcloud beta memorystore instances create INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
Lakukan penggantian berikut:
- INSTANCE_ID: ID instance yang ingin Anda buat untuk menggunakan autentikasi berbasis token dasar
- REGION: region tempat Anda ingin menempatkan instance
Mengaktifkan autentikasi dasar berbasis token untuk instance
Dengan mengaktifkan autentikasi berbasis token dasar untuk instance, Anda memiliki metode ringan dan didukung secara luas untuk membatasi akses pengguna ke instance.
Pengguna default dapat melakukan autentikasi ke instance hanya dengan menggunakan tokennya.
Semua pengguna lainnya melakukan autentikasi dengan menggunakan nama pengguna dan token standar. Untuk mengetahui informasi selengkapnya, lihat Memverifikasi dukungan klien untuk autentikasi dasar berbasis token.
Mengaktifkan autentikasi dasar berbasis token dapat menyebabkan periode nonaktif untuk aplikasi yang mencoba membuat koneksi baru karena Memorystore untuk Valkey memerlukan permintaan yang diautentikasi. Meskipun koneksi yang ada tidak terpengaruh, untuk menggunakan autentikasi berbasis token dasar untuk upaya koneksi berikutnya ke instance, Anda harus mengupdate aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan ke instance menggunakan autentikasi dasar berbasis token.
Anda dapat mengaktifkan autentikasi berbasis token dasar untuk instance menggunakan gcloud CLI.
Untuk mengaktifkan autentikasi dasar berbasis token, gunakan perintah gcloud beta memorystore instances update.
gcloud beta memorystore instances update INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
Lakukan penggantian berikut:
- INSTANCE_ID: ID instance yang ingin Anda aktifkan autentikasi berbasis token dasar
- REGION: region tempat instance berada
Membuat pengguna autentikasi berbasis token dasar untuk instance
Dengan membuat pengguna autentikasi berbasis token dasar untuk instance, Anda mengonfigurasi instance untuk mengizinkan autentikasi multi-pengguna. Setelah pengguna login untuk pertama kalinya, mode autentikasi ini berfungsi sebagai kredensial yang aman dan dapat dibatalkan untuk koneksi baru. Pengguna dapat terus menggunakan token autentikasi hingga pengguna menghapusnya atau pengguna dihapus.
Anda dapat membuat pengguna autentikasi berbasis token dasar menggunakan gcloud CLI.
Untuk membuat pengguna, gunakan perintah gcloud beta memorystore instances create-token-auth-user.
gcloud beta memorystore instances create-token-auth-user INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Lakukan penggantian berikut:
- INSTANCE_ID: ID instance yang ingin Anda buatkan pengguna autentikasi berbasis token dasar
- REGION: region tempat instance berada
- USERNAME: nama pengguna pengguna
Mencantumkan pengguna autentikasi berbasis token dasar untuk instance
Anda dapat mengambil daftar pengguna autentikasi dasar berbasis token untuk instance menggunakan gcloud CLI.
Untuk mencantumkan pengguna, gunakan perintah gcloud beta memorystore instances token-auth-users list.
gcloud beta memorystore instances token-auth-users list \ --instance=INSTANCE_ID \ --location=REGION
Lakukan penggantian berikut:
- INSTANCE_ID: ID instance yang ingin Anda ambil daftar pengguna autentikasi dasar berbasis tokennya
- REGION: region tempat instance berada
Melihat informasi tentang pengguna autentikasi berbasis token dasar
Anda dapat melihat informasi tentang pengguna autentikasi berbasis token dasar menggunakan gcloud CLI.
Untuk melihat informasi tentang pengguna, gunakan perintah gcloud beta memorystore instances token-auth-users describe.
gcloud beta memorystore instances token-auth-users describe USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Lakukan penggantian berikut:
- USERNAME: nama pengguna autentikasi berbasis token dasar yang informasinya ingin Anda lihat
- INSTANCE_ID: ID instance tempat pengguna dapat mengautentikasi
- REGION: region tempat instance berada
Menghapus pengguna autentikasi berbasis token dasar dari instance
Dengan menghapus pengguna autentikasi berbasis token dasar dari instance, Anda mencabut hak akses pengguna ke instance tersebut.
Anda dapat menghapus pengguna autentikasi berbasis token dasar dari instance menggunakan gcloud CLI.
Untuk menghapus pengguna, gunakan perintah gcloud beta memorystore instances token-auth-users delete.
gcloud beta memorystore instances token-auth-users delete USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Lakukan penggantian berikut:
- USERNAME: nama pengguna dari pengguna autentikasi berbasis token dasar
- INSTANCE_ID: ID instance tempat Anda ingin menghapus pengguna
- REGION: region tempat instance berada
Untuk pengguna yang Anda hapus, Memorystore for Valkey tidak mengakhiri koneksi yang ada. Untuk mengakhiri koneksi ini, jalankan perintah berikut di semua node dalam instance:
CLIENT KILL USER USERNAME
Mengelola autentikasi dasar berbasis token untuk pengguna
Memorystore for Valkey mendukung tindakan berikut untuk mengelola autentikasi dasar berbasis token bagi pengguna:
- Membuat token autentikasi untuk pengguna
- Mencantumkan token autentikasi untuk pengguna
- Melihat informasi tentang token autentikasi untuk pengguna
- Menghapus token autentikasi dari pengguna
Membuat token autentikasi untuk pengguna
Dengan membuat token autentikasi untuk pengguna, Anda dapat mengganti token pengguna yang ada tanpa menyebabkan aplikasi Anda mengalami waktu non-operasional.
Anda dapat membuat token autentikasi untuk pengguna menggunakan gcloud CLI.
Untuk membuat pengguna, gunakan perintah gcloud beta memorystore instances token-auth-users create-auth-token.
gcloud beta memorystore instances token-auth-users create-auth-token USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Lakukan penggantian berikut:
- USERNAME: nama pengguna yang ingin Anda buatkan token autentikasinya
- INSTANCE_ID: ID instance yang dapat diakses pengguna dengan menggunakan token
- REGION: region tempat instance berada
Mencantumkan token autentikasi untuk pengguna
Anda dapat mengambil daftar token autentikasi untuk pengguna menggunakan gcloud CLI.
Untuk mencantumkan token, gunakan perintah gcloud beta memorystore instances token-auth-users auth-tokens list.
gcloud beta memorystore instances token-auth-users auth-tokens list \ --token-auth-user=USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Lakukan penggantian berikut:
- USERNAME: nama pengguna yang memiliki token autentikasi
- INSTANCE_ID: ID instance yang dapat diakses pengguna dengan menggunakan token autentikasi
- REGION: region tempat instance berada
Melihat informasi tentang token autentikasi untuk pengguna
Anda dapat melihat informasi tentang token autentikasi untuk pengguna menggunakan gcloud CLI.
Untuk melihat informasi, gunakan perintah gcloud beta memorystore instances token-auth-users auth-tokens describe.
gcloud beta memorystore instances token-auth-users auth-tokens describe AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Lakukan penggantian berikut:
- AUTH_TOKEN: nama token autentikasi yang informasinya ingin Anda lihat
- INSTANCE_ID: ID instance yang dapat diakses pengguna dengan menggunakan token
- REGION: region tempat instance berada
- USERNAME: nama pengguna yang memiliki token autentikasi
Menghapus token autentikasi dari pengguna
Menghapus token autentikasi dari pengguna adalah tindakan keamanan penting yang membatalkan token.
Anda dapat menghapus token autentikasi dari pengguna menggunakan gcloud CLI.
Untuk menghapus token, gunakan perintah gcloud beta memorystore instances token-auth-users auth-tokens delete.
gcloud beta memorystore instances token-auth-users auth-tokens delete AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Lakukan penggantian berikut:
- AUTH_TOKEN: nama token autentikasi yang ingin Anda hapus dari pengguna
- INSTANCE_ID: ID instance yang aksesnya ingin Anda cegah dengan menghapus token pengguna
- REGION: region tempat instance berada
- USERNAME: nama pengguna yang memiliki token yang ingin Anda hapus
Menghubungkan ke instance menggunakan autentikasi berbasis token dasar
Anda dapat menggunakan metode berikut untuk terhubung ke instance menggunakan autentikasi dasar berbasis token:
- String Uniform Resource Identifier (URI): string tunggal yang diformat ini digunakan untuk mempermudah karena semua informasi koneksi yang diperlukan (misalnya, nama pengguna dan token autentikasi pengguna, serta alamat IP dan nama host instance) terdapat dalam satu string.
- Flag: metode ini lebih cocok untuk penggunaan alat command line individual, pembuatan skrip, atau lingkungan tempat konfigurasi dipecah menjadi variabel lingkungan terpisah dengan menggunakan beberapa argumen terpisah.
Di bagian berikut, setiap metode koneksi dijelaskan.
Menggunakan string URI
Untuk terhubung dari VM Compute Engine atau lingkungan yang didukung menggunakan string URI, gunakan perintah berikut:
valkey-cli -u redis://USERNAME:TOKEN@IP_ADDRESS:PORT
Lakukan penggantian berikut:
- USERNAME: nama pengguna yang mencoba terhubung ke instance
- TOKEN: token autentikasi pengguna
- IP_ADDRESS: alamat IP instance
- PORT: nomor port yang dicadangkan untuk instance
Menggunakan tanda
Untuk terhubung dari VM Compute Engine atau lingkungan yang didukung menggunakan flag, gunakan perintah berikut:
valkey-cli --user USERNAME -a TOKEN -h IP_ADDRESS -p PORT
Lakukan penggantian berikut:
- USERNAME: nama pengguna yang mencoba terhubung ke instance
- TOKEN: token autentikasi pengguna
- IP_ADDRESS: alamat IP instance
- PORT: nomor port yang dicadangkan untuk instance
Mengganti token autentikasi pengguna tanpa periode nonaktif
Untuk mengganti token autentikasi pengguna tanpa menyebabkan aplikasi Anda tidak tersedia, lakukan hal berikut:
- Buat token autentikasi tambahan untuk pengguna: Memorystore untuk Valkey membuat token kedua yang valid. Kedua token valid.
- Perbarui aplikasi Anda: perbarui aplikasi Anda untuk menggunakan token baru.
- Hapus token autentikasi untuk pengguna: Memorystore untuk Valkey menghapus token pertama. Pengguna hanya dapat menggunakan token kedua untuk mengautentikasi ke aplikasi Anda.
Mengakses log untuk autentikasi dasar berbasis token
Memorystore for Valkey membuat log audit Aktivitas Admin dan Akses Data untuk operasi yang terkait dengan token dan pengguna autentikasi. Untuk mengetahui informasi selengkapnya tentang log audit ini, lihat Memantau akses menggunakan log audit.