Oltre all'autenticazione di Identity and Access Management (IAM), puoi utilizzare l'autenticazione di base basata su token per proteggere l'accesso alle istanze di Memorystore for Valkey. Come soluzione leggera, l'autenticazione di base basata su token consente ai client di verificare la propria identità all'interno delle applicazioni utilizzando i propri token.
L'autenticazione di base basata su token ha requisiti di risorse minimi e un sovraccarico di risorse ridotto. Inoltre, se i tuoi attuali carichi di lavoro su Memorystore for Redis o sulle tue applicazioni on-premise utilizzano già l'autenticazione di base basata su token, questa funzionalità facilita una transizione senza problemi durante la migrazione a Memorystore for Valkey.
Vantaggi
L'utilizzo dell'autenticazione di base basata su token offre i seguenti vantaggi:
- Flessibilità: per le istanze nuove ed esistenti, abilita l'autenticazione in qualsiasi momento. Quando abiliti l'autenticazione di base basata su token, le tue istanze sono sicure. Per tutte le nuove connessioni, gli utenti devono fornire un token di autenticazione per autenticarsi nelle istanze.
- Rotazione senza tempi di inattività: ruota i token utente senza causare tempi di inattività alle applicazioni.
- Compatibilità: il superutente
defaultmantiene gli stessi privilegi che sono concessi a questo utente. L'autenticazione di base basata su token aggiunge un ulteriore livello di protezione. In questo modo, viene garantita la compatibilità con le versioni precedenti quando esegui la migrazione dei carichi di lavoro da Memorystore for Redis a Memorystore for Valkey.
Modalità di autenticazione
L'autenticazione di base basata su token supporta due modalità di autenticazione principali:
- Autenticazione semplice: un metodo semplice in cui un utente invia un
token di autenticazione per autenticarsi come utente
default - Autenticazione multiutente: gestisci più utenti per autenticare l'accesso alle istanze
Best practice
Per motivi di sicurezza, ti consigliamo di utilizzare le seguenti best practice per l'autenticazione di base basata su token:
- Ruota i token utente: utilizza una policy di rotazione per i token utente.
Utilizza Secret Manager: non codificare le credenziali di autenticazione di base basata su token di un utente nel codice dell'applicazione. Archiviale invece in Secret Manager e recuperale in fase di runtime.
Secret Manager fornisce un vault centralizzato e criptato per le credenziali utente, che elimina la proliferazione dei secret e riduce il sovraccarico operativo della gestione manuale delle credenziali. Applica i controlli degli accessi utilizzando IAM e genera automaticamente i log di controllo. In questo modo, viene garantita la conformità e si impedisce l'esposizione delle credenziali.
Combina l'autenticazione di base basata su token con Transport Layer Security (TLS): quando utilizzi l'autenticazione di base basata su token, ti consigliamo di abilitare la crittografia in transito. In questo modo, i nomi utente e i token di autenticazione non vengono inviati in testo normale sulla rete.
Prima di iniziare
Prima di iniziare a proteggere le istanze utilizzando l'autenticazione di base basata su token, completa i prerequisiti descritti in questa sezione.
Verificare il supporto client per l'autenticazione di base basata su token
Per verificare che le applicazioni client possano supportare l'autenticazione di base basata su token, assicurati che le applicazioni possano utilizzare il comando AUTH.
L'utente default esegue l'autenticazione nelle applicazioni client utilizzando il seguente comando:
AUTH TOKEN
Per questo comando, TOKEN è il token di autenticazione dell'utente predefinito.
Tutti gli altri utenti eseguono l'autenticazione utilizzando il seguente comando:
AUTH USERNAME TOKEN
Per questo comando, USERNAME e TOKEN sono il nome utente e il token di autenticazione dell'utente.
Per ulteriori informazioni sul comando AUTH, consulta AUTH
nella documentazione di Valkey.
Utilizzare la Google Cloud console, Google Cloud CLI e le API
Per utilizzare la Google Cloud console, gcloud CLI e le API:
- Nella Google Cloud console, nella pagina di selezione del progetto, seleziona o crea un Google Cloud progetto.
- Verifica che la fatturazione sia attivata per il tuo progetto. Scopri come verificare se la fatturazione è abilitata per un progetto.
Installa e inizializza Google Cloud CLI (gcloud CLI).
Nota:se hai installato gcloud CLI, assicurati di avere l'ultima versione eseguendo
gcloud components update. Per accedere ai comandi gcloud CLI di Memorystore for Valkey, devi avere almeno la versione489.0.0di gcloud CLI.-
Abilita l'API Memorystore for Valkey.
API Memorystore for Valkey -
Abilita l'API Network Connectivity.
API Network Connectivity -
Abilita l'API Service Consumer Management.
API Service Consumer Management
Assegna i ruoli
Per configurare l'autenticazione di base basata su token per le istanze, devi disporre di uno di questi ruoli IAM nel tuo Google Cloud progetto:
roles/memorystore.admin(il ruolo Memorystore Admin)roles/owner(il ruolo Proprietario)roles/editor(il ruolo Editor)
Gestire l'autenticazione di base basata su token per le istanze
Memorystore for Valkey supporta le seguenti azioni per gestire l'autenticazione di base basata su token per le istanze:
- Creare un'istanza con l'autenticazione di base basata su token
- Abilitare l'autenticazione di base basata su token per un'istanza
- Creare un utente di autenticazione di base basata su token per un'istanza
- Elencare gli utenti di autenticazione di base basata su token per un'istanza
- Visualizzare le informazioni su un utente di autenticazione di base basata su token
- Eliminare un utente di autenticazione di base basata su token da un'istanza
Creare un'istanza con l'autenticazione di base basata su token
Creando un'istanza con l'autenticazione di base basata su token, hai a disposizione un metodo leggero e ampiamente supportato per limitare l'accesso di un utente all'istanza.
Puoi creare l'istanza utilizzando gcloud CLI.
Per creare un'istanza in cui è abilitata l'autenticazione di base basata su token, utilizza il
gcloud beta memorystore instances create
comando.
gcloud beta memorystore instances create INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza che vuoi creare per utilizzare l'autenticazione di base basata su token
- REGION: la regione in cui vuoi che si trovi l'istanza
Abilitare l'autenticazione di base basata su token per un'istanza
Abilitando l'autenticazione di base basata su token per un'istanza, hai a disposizione un metodo leggero e ampiamente supportato per limitare l'accesso di un utente all'istanza.
L'utente default può eseguire l'autenticazione nell'istanza utilizzando solo il proprio token.
Tutti gli altri utenti eseguono l'autenticazione utilizzando un nome utente e un token standard. Per ulteriori
informazioni, vedi Verificare il supporto client per l'autenticazione di base basata su token.
L'abilitazione dell'autenticazione di base basata su token potrebbe causare tempi di inattività per le applicazioni che tentano di creare nuove connessioni perché Memorystore for Valkey richiede richieste autenticate. Sebbene le connessioni esistenti rimangano invariate, per utilizzare l'autenticazione di base basata su token per eventuali tentativi di connessione successivi all'istanza, devi aggiornare le applicazioni. Per ulteriori informazioni, vedi Connettersi a un'istanza utilizzando l'autenticazione di base basata su token.
Puoi abilitare l'autenticazione di base basata su token per un'istanza utilizzando il gcloud CLI.
Per abilitare l'autenticazione di base basata su token, utilizza il gcloud beta memorystore instances update comando.
gcloud beta memorystore instances update INSTANCE_ID \ --location=REGION \ --authorization-mode=token-auth
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza per cui vuoi abilitare l'autenticazione di base basata su token
- REGION: la regione in cui si trova l'istanza
Creare un utente di autenticazione di base basata su token per un'istanza
Creando un utente di autenticazione di base basata su token per un'istanza, configuri l'istanza in modo da consentire l'autenticazione multiutente. Dopo l'accesso iniziale dell'utente, questa modalità di autenticazione funge da credenziale sicura e revocabile per le nuove connessioni. L'utente può continuare a utilizzare il token di autenticazione finché non lo elimina o finché l'utente non viene rimosso.
Puoi creare un utente di autenticazione di base basata su token utilizzando gcloud CLI.
Per creare l'utente, utilizza il gcloud beta memorystore instances create-token-auth-user comando.
gcloud beta memorystore instances create-token-auth-user INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza per cui vuoi creare un utente di autenticazione di base basata su token
- REGION: la regione in cui si trova l'istanza
- USERNAME: il nome utente dell'utente
Elencare gli utenti di autenticazione di base basata su token per un'istanza
Puoi recuperare un elenco di utenti di autenticazione di base basata su token per un'istanza utilizzando la gcloud CLI.
Per elencare gli utenti, utilizza il gcloud beta memorystore instances token-auth-users list comando.
gcloud beta memorystore instances token-auth-users list \ --instance=INSTANCE_ID \ --location=REGION
Esegui le seguenti sostituzioni:
- INSTANCE_ID: l'ID dell'istanza per cui vuoi recuperare un elenco di utenti di autenticazione di base basata su token
- REGION: la regione in cui si trova l'istanza
Visualizzare le informazioni su un utente di autenticazione di base basata su token
Puoi visualizzare le informazioni su un utente di autenticazione di base basata su token utilizzando gcloud CLI.
Per visualizzare le informazioni sull'utente, utilizza il gcloud beta memorystore instances token-auth-users describe comando.
gcloud beta memorystore instances token-auth-users describe USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente di autenticazione di base basata su token di cui vuoi visualizzare le informazioni
- INSTANCE_ID: l'ID dell'istanza a cui l'utente può eseguire l'autenticazione
- REGION: la regione in cui si trova l'istanza
Eliminare un utente di autenticazione di base basata su token da un'istanza
Eliminando un utente di autenticazione di base basata su token da un'istanza, revochi i diritti di accesso dell'utente all'istanza.
Puoi eliminare un utente di autenticazione di base basata su token da un'istanza utilizzando gcloud CLI.
Per eliminare l'utente, utilizza il gcloud beta memorystore instances token-auth-users delete comando.
gcloud beta memorystore instances token-auth-users delete USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente di autenticazione di base basata su token
- INSTANCE_ID: l'ID dell'istanza da cui vuoi eliminare l'utente
- REGION: la regione in cui si trova l'istanza
Per l'utente che stai eliminando, Memorystore for Valkey non termina le connessioni esistenti. Per terminare queste connessioni, esegui il seguente comando su tutti i nodi dell'istanza:
CLIENT KILL USER USERNAME
Gestire l'autenticazione di base basata su token per gli utenti
Memorystore for Valkey supporta le seguenti azioni per gestire l'autenticazione di base basata su token per gli utenti:
- Creare un token di autenticazione per un utente
- Elencare i token di autenticazione per un utente
- Visualizzare le informazioni su un token di autenticazione per un utente
- Eliminare un token di autenticazione da un utente
Creare un token di autenticazione per un utente
Creando un token di autenticazione per un utente, puoi ruotare il token esistente dell'utente senza causare tempi di inattività alle applicazioni.
Puoi creare un token di autenticazione per un utente utilizzando la gcloud CLI.
Per creare l'utente, utilizza il gcloud beta memorystore instances token-auth-users create-auth-token
comando.
gcloud beta memorystore instances token-auth-users create-auth-token USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente per cui vuoi creare un token di autenticazione
- INSTANCE_ID: l'ID dell'istanza a cui l'utente può accedere utilizzando il token
- REGION: la regione in cui si trova l'istanza
Elencare i token di autenticazione per un utente
Puoi recuperare un elenco di token di autenticazione per un utente utilizzando gcloud CLI.
Per elencare i token, utilizza il gcloud beta memorystore instances token-auth-users auth-tokens list
comando.
gcloud beta memorystore instances token-auth-users auth-tokens list \ --token-auth-user=USERNAME \ --instance=INSTANCE_ID \ --location=REGION
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente a cui appartengono i token di autenticazione
- INSTANCE_ID: l'ID dell'istanza a cui l'utente può accedere utilizzando i token di autenticazione
- REGION: la regione in cui si trova l'istanza
Visualizzare le informazioni su un token di autenticazione per un utente
Puoi visualizzare le informazioni su un token di autenticazione per un utente utilizzando gcloud CLI.
Per visualizzare le informazioni, utilizza il gcloud beta memorystore instances token-auth-users auth-tokens describe
comando.
gcloud beta memorystore instances token-auth-users auth-tokens describe AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Esegui le seguenti sostituzioni:
- AUTH_TOKEN: il nome del token di autenticazione di cui vuoi visualizzare le informazioni
- INSTANCE_ID: l'ID dell'istanza a cui l'utente può accedere utilizzando il token
- REGION: la regione in cui si trova l'istanza
- USERNAME: il nome utente dell'utente a cui appartiene il token di autenticazione
Eliminare un token di autenticazione da un utente
L'eliminazione di un token di autenticazione da un utente è un'azione di sicurezza fondamentale che invalida il token.
Puoi eliminare un token di autenticazione da un utente utilizzando il gcloud CLI.
Per eliminare il token, utilizza il gcloud beta memorystore instances token-auth-users auth-tokens delete
comando.
gcloud beta memorystore instances token-auth-users auth-tokens delete AUTH_TOKEN \ --instance=INSTANCE_ID \ --location=REGION \ --token-auth-user=USERNAME
Esegui le seguenti sostituzioni:
- AUTH_TOKEN: il nome del token di autenticazione che vuoi eliminare dall'utente
- INSTANCE_ID: l'ID dell'istanza a cui vuoi impedire l'accesso all'utente eliminando il token
- REGION: la regione in cui si trova l'istanza
- USERNAME: il nome utente dell'utente che ha un token che vuoi eliminare
Connettersi a un'istanza utilizzando l'autenticazione di base basata su token
Puoi utilizzare i seguenti metodi per connetterti a un'istanza utilizzando l'autenticazione di base basata su token:
- Stringa URI (Uniform Resource Identifier): questa singola stringa formattata viene utilizzata per comodità perché tutte le informazioni di connessione necessarie (ad esempio, il nome utente e il token di autenticazione dell'utente, nonché l'indirizzo IP e il nome host dell'istanza) sono contenute in una singola stringa.
- Flag: questo metodo è più adatto per l'utilizzo di singoli strumento a riga di comando usage, scripting o ambienti in cui la configurazione è suddivisa in variabili di ambiente separate utilizzando più argomenti separati.
Nelle sezioni seguenti viene illustrato ogni metodo di connessione.
Utilizzare una stringa URI
Per connetterti da una VM di Compute Engine o da un ambiente supportato utilizzando una stringa URI, utilizza il seguente comando:
valkey-cli -u redis://USERNAME:TOKEN@IP_ADDRESS:PORT
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente che sta tentando di connettersi a ll'istanza
- TOKEN: il token di autenticazione dell'utente
- IP_ADDRESS: l'indirizzo IP dell'istanza
- PORT: il numero di porta riservato per l'istanza
Utilizzare i flag
Per connetterti da una VM di Compute Engine o da un ambiente supportato utilizzando i flag, utilizza il seguente comando:
valkey-cli --user USERNAME -a TOKEN -h IP_ADDRESS -p PORT
Esegui le seguenti sostituzioni:
- USERNAME: il nome utente dell'utente che sta tentando di connettersi a ll'istanza
- TOKEN: il token di autenticazione dell'utente
- IP_ADDRESS: l'indirizzo IP dell'istanza
- PORT: il numero di porta riservato per l'istanza
Ruotare il token di autenticazione di un utente senza tempi di inattività
Per ruotare il token di autenticazione di un utente senza causare tempi di inattività alle applicazioni:
- Crea un token di autenticazione aggiuntivo per l'utente: Memorystore for Valkey genera un secondo token valido. Entrambi i token sono validi.
- Aggiorna le applicazioni: aggiorna le applicazioni in modo che utilizzino il nuovo token.
- Elimina il token di autenticazione per l'utente: Memorystore for Valkey rimuove il primo token. L'utente può utilizzare solo il secondo token per eseguire l'autenticazione nelle applicazioni.
Log di accesso per l'autenticazione di base basata su token
Memorystore for Valkey genera audit log delle attività di amministrazione e di accesso ai dati per le operazioni associate ai token di autenticazione e agli utenti. Per ulteriori informazioni su questi audit log, vedi Monitorare l'accesso utilizzando gli audit log.