Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administra la autenticación de IAM

En esta página, se proporcionan instrucciones sobre las tareas comunes de la función de autenticación de IAM para Memorystore for Valkey. Para obtener más detalles sobre la función, consulta Acerca de la autenticación de IAM.

Crea una instancia con autenticación de IAM

Para crear una instancia de Memorystore for Valkey que use la autenticación de IAM, ejecuta el comando create:

gcloud memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Reemplaza lo siguiente:

INSTANCE_ID es el ID de la instancia de Memorystore for Valkey que crearás. El ID de la instancia debe tener entre 1 y 63 caracteres, y usar solo letras minúsculas, números o guiones. Debe empezar con una letra minúscula y terminar con una letra minúscula o un número.
REGION_ID es la región en la que deseas colocar la instancia.
NETWORK es la red que se usa para crear tu instancia. Debe usar el formato: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. El ID de red que se usa aquí debe coincidir con el ID de red que usa la política de conexión de servicio. De lo contrario, la operación create fallará. Para obtener más detalles, consulta Herramientas de redes.
NODE_TYPE es el tipo de nodo de la instancia.

Precaución: Te recomendamos que uses el shared-core-nano tipo de nodo solo para fines de desarrollo o prueba ya que este tipo de nodo no tiene ANS. Si ejecutas Memorystore for Valkey en un entorno de producción, te recomendamos que uses otro tipo de nodo.
SHARD_COUNT determina la cantidad de fragmentos de tu instancia. La cantidad de fragmentos determina la capacidad total de memoria para almacenar datos de instancias. Para obtener más detalles sobre la especificación de la instancia, consulta Especificación de instancias y nodos.

Otorga permisos para la autenticación de IAM

Para otorgar un acceso de IAM, otorga a la principal el roles/memorystore.dbConnectionUser rol con las instrucciones para otorgar roles de IAM.

De forma predeterminada, otorgar a una principal el rol roles/memorystore.dbConnectionUser le permite acceder a todas las instancias de tu proyecto.

Crea un rol de administrador de IAM limitado para una instancia

Es posible que desees crear un rol que pueda modificar los permisos de IAM de conexión de instancias sin otorgar acceso completo de administrador de IAM. Para ello, crea un administrador de IAM limitado para el rol roles/memorystore.dbConnectionUser. Para obtener más detalles, visita Crea administradores de IAM limitados.

Conéctate a una instancia que usa la autenticación de IAM

Si aún no tienes una VM de Compute Engine que use la misma red autorizada que tu instancia de Valkey, crea una y conéctate a ella siguiendo la Guía de inicio rápido sobre el uso de una VM de Linux.
Para tu proyecto, habilita el alcance de la API de Cloud Platform. Para obtener más información sobre cómo habilitar este permiso de acceso, consulta Adjunta la cuenta de servicio y actualiza el alcance de acceso. Para obtener más información sobre las prácticas recomendadas para este alcance, consulta Prácticas recomendadas de alcances.
Para tu proyecto, habilita la API de Memorystore for Valkey.
API de Memorystore for Valkey
Instala valkey-cli en la VM de Compute Engine siguiendo las instrucciones en Instala Valkey.
Ejecuta el siguiente comando para obtener un token de acceso para tu usuario de IAM:
```
gcloud auth print-access-token
```
Nota: Los tokens de acceso vencen en una hora. Para obtener más información, consulta Período del token de acceso de IAM.
Conéctate al extremo de detección de tu instancia:
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Reemplaza lo siguiente:
- NETWORK_ADDRESS es la dirección de red de la instancia. Para ver la dirección de red, consulta Visualiza la información de la instancia.
- PORT es el número de puerto de las instancias. Para ver el número de puerto, consulta Visualiza la información de la instancia.
- ACCESS_TOKEN es el token de acceso de IAM recuperado en los pasos anteriores.
Nota: Las conexiones autenticadas son válidas durante 12 horas. Para obtener más información, consulta Período del token de acceso de IAM.
Ejecuta el comando CLUSTER SHARDS para ver la topología de tu nodo. Anota una de las direcciones IP y los números de puerto del nodo.
Para conectarte al nodo elegido, ejecuta el siguiente comando:
```
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
Reemplaza lo siguiente:
- NODE_IP_ADDRESS es la dirección IP del nodo que encontraste en el paso anterior.
- NODE_PORT es el número de puerto del nodo que encontraste en el paso anterior.
Ejecuta un comando SET y GET de Valkey para verificar que estableciste una conexión autenticada al nodo de tu instancia.
Una vez que termines de probar tu conexión con la instancia de Valkey, debes considerar borrar la VM de Compute Engine que usaste para conectarte a la instancia de Valkey. Esto te ayuda a evitar que se generen cargos en tu cuenta de Facturación de Cloud.
Ejecuta el siguiente comando para usar valkey-cli para autenticar y conectarte a tu instancia, y reemplaza las variables por los valores apropiados:
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Reemplaza lo siguiente:
- NETWORK_ADDRESS es la dirección de red de la instancia. Para ver la dirección de red, consulta Visualiza la información de la instancia.
- PORT es el número de puerto de las instancias. Para ver el número de puerto, consulta Visualiza la información de la instancia.
- ACCESS_TOKEN es el token de acceso de IAM recuperado en los pasos anteriores.
Nota: Las conexiones autenticadas son válidas durante 12 horas. Para obtener más información, consulta Período del token de acceso de IAM.
Ejecuta un comando SET y GET de Valkey para verificar que estableciste una conexión autenticada a tu instancia.
Una vez que termines de probar tu conexión con la instancia de Valkey, debes considerar borrar la VM de Compute Engine que usaste para conectarte a la instancia de Valkey. Esto te ayuda a evitar que se generen cargos en tu cuenta de Facturación de Cloud.

Automatiza la recuperación de tokens de acceso

Te recomendamos que automatices la recuperación de tokens de acceso en tu aplicación. Debido a la corta duración de un token de acceso, es difícil codificarlo de forma rígida.

(Opcional) Si aún no lo hiciste, crea una cuenta de servicio para tu aplicación (consulta Crea y administra una cuenta de servicio).
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Reemplaza lo siguiente:
- SA_NAME es el nombre de la cuenta de servicio.
- DESCRIPTION es una descripción opcional de la cuenta de servicio.
- DISPLAY_NAME es un nombre de cuenta de servicio para mostrar en la Google Cloud consola.
Otorga a tu cuenta de servicio el rol memorystore.dbConnectionUser en tu proyecto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role=roles/"ROLE_NAME"
```
Reemplaza lo siguiente:
- PROJECT_ID: Es el ID del proyecto.
- SA_NAME: Es el nombre de la cuenta de servicio.
- ROLE_NAME: Es un nombre de rol. Para este ejemplo: memorystore.dbConnectionUser.
Autentica tu aplicación como la cuenta de servicio determinada. Consulta Cuentas de servicio para obtener más información.

Para obtener muestras de código que muestran cómo puedes autenticar tu aplicación con bibliotecas cliente populares, consulta Muestras de código de bibliotecas cliente.

Muestra de código para conectarse a una instancia que usa la autenticación de IAM

Para ver una muestra de código compatible con Valkey sobre cómo configurar una biblioteca cliente para conectarse a una instancia que usa la autenticación de IAM, consulta Muestra de código para la autenticación de IAM y el encriptado en tránsito.

Soluciona problemas de mensajes de error con la autenticación de IAM

Mensaje de error	Acción recomendada	Descripción
`-WRONGPASS invalid username-password pair or user is disabled`	Verifica el nombre de usuario y el token de acceso proporcionados al servidor de Memorystore for Valkey.	El nombre de usuario o el token de acceso proporcionados no son válidos. "default" es el único nombre de usuario admitido. Si tu aplicación ya usa el nombre de usuario "default", verifica que el token de acceso no haya vencido y se recupere siguiendo las instrucciones en Conéctate a una instancia que usa la autenticación de IAM. Es posible que los permisos de IAM tarden unos minutos en propagarse si se cambiaron recientemente.
`-NOAUTH Authentication required`	Verifica que la aplicación esté configurada para proporcionar un token de acceso de IAM al servidor de Memorystore for Valkey.	La aplicación no proporciona un token de acceso al servidor de Memorystore for Valkey. Verifica que la aplicación esté configurada para proporcionar un token de acceso. siguiendo las instrucciones en Conéctate a una instancia que usa la autenticación de IAM.
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded.`	Volver a intentarlo con una retirada exponencial	El backend de IAM está sobrecargado y mostró un error de cuota excedida al servidor de Memorystore for Valkey. Las aplicaciones deben intentar volver a ejecutar este error con una retirada exponencial para evitar más fallas de conexión.
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error.`	Volver a intentarlo con una retirada exponencial	El backend de IAM mostró un error transitorio al servidor de Memorystore for Valkey. Las aplicaciones deben intentar volver a ejecutar este error con una retirada exponencial para evitar más fallas de conexión.