Gestire l'autenticazione IAM

Questa pagina fornisce istruzioni sulle attività comuni per la funzionalità di autenticazione IAM per Memorystore for Valkey. Per maggiori dettagli sulla funzionalità, consulta Informazioni sull'autenticazione IAM.

Creare un'istanza con l'autenticazione IAM

Per creare un'istanza Memorystore for Valkey che utilizza l'autenticazione IAM, esegui il comando create:

gcloud memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

Sostituisci quanto segue:

INSTANCE_ID è l'ID dell'istanza Memorystore for Valkey che stai creando. L'ID istanza deve contenere da 1 a 63 caratteri e utilizzare solo lettere minuscole, numeri o trattini. Deve iniziare con una lettera minuscola e terminare con una lettera minuscola o un numero.
REGION_ID è la regione in cui vuoi che si trovi l'istanza.
NETWORK è la rete utilizzata per creare l'istanza. Deve utilizzare il formato: projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID. L'ID rete utilizzato qui deve corrispondere all'ID rete utilizzato dalla policy di connessione al servizio. In caso contrario, l'operazione create non riesce. Per maggiori dettagli, consulta Networking.
NODE_TYPE è il tipo di nodo per l' istanza.

Attenzione: ti consigliamo di utilizzare il tipo di nodo shared-core-nano solo per scopi di sviluppo o test perché questo tipo di nodo non ha uno SLA. Se esegui Memorystore for Valkey in un ambiente di produzione, ti consigliamo di utilizzare un altro tipo di nodo.
SHARD_COUNT determina il numero di shard nell'istanza. Il numero di shard determina la capacità di memoria totale per l'archiviazione dei dati dell'istanza. Per visualizzare maggiori dettagli sulla specifica dell'istanza, consulta Specifica dell'istanza e del nodo.

Concedere le autorizzazioni per l'autenticazione IAM

Per concedere un accesso IAM, concedi all'entità il roles/memorystore.dbConnectionUser ruolo utilizzando le istruzioni per la concessione del ruolo IAM.

Per impostazione predefinita, la concessione all'entità del ruolo roles/memorystore.dbConnectionUser consente all'entità di accedere a tutte le istanze del progetto.

Creare un ruolo di amministratore IAM limitato per un'istanza

Potresti voler creare un ruolo in grado di modificare le autorizzazioni IAM di connessione all'istanza senza concedere l'accesso completo di amministratore IAM. Per farlo, crea un amministratore IAM limitato per il ruolo roles/memorystore.dbConnectionUser. Per maggiori dettagli, consulta Creare amministratori IAM limitati.

Connettersi a un'istanza che utilizza l'autenticazione IAM

Se non hai già una VM di Compute Engine che utilizza la stessa rete autorizzata dell'istanza Valkey, creane una e connettiti seguendo Guida rapida all'utilizzo di una VM Linux.
Per il tuo progetto, abilita l'ambito dell'API Cloud Platform. Per saperne di più su come abilitare questo ambito di accesso, consulta Collegare il account di servizio e aggiornare l'ambito di accesso. Per saperne di più sulle best practice per questo ambito, consulta Best practice per gli ambiti.
Per il tuo progetto, abilita l'API Memorystore for Valkey.
API Memorystore for Valkey
Installa valkey-cli sulla VM di Compute Engine seguendo le istruzioni riportate in Installare Valkey.
Esegui il seguente comando per ottenere un token di accesso per il tuo utente IAM:
```
gcloud auth print-access-token
```
Nota: i token di accesso scadono dopo un'ora. Per saperne di più, consulta Intervallo di tempo del token di accesso IAM.
Connettiti all'endpoint di rilevamento dell'istanza:
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Sostituisci quanto segue:
- NETWORK_ADDRESS è l'indirizzo di rete dell'istanza. Per visualizzare l' indirizzo di rete, consulta Visualizzare le informazioni sull'istanza.
- PORT è il numero di porta delle istanze. Per visualizzare il numero di porta, consulta Visualizzare le informazioni sull'istanza.
- ACCESS_TOKEN è il token di accesso IAM recuperato nei passaggi precedenti.
Nota: le connessioni autenticate sono valide per 12 ore. Per saperne di più, consulta Intervallo di tempo del token di accesso IAM.
Esegui il comando CLUSTER SHARDS per visualizzare la topologia dei nodi. Prendi nota di uno degli indirizzi IP e dei numeri di porta del nodo.
Connettiti al nodo scelto eseguendo il seguente comando:
```
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
Sostituisci quanto segue:
- NODE_IP_ADDRESS è l'indirizzo IP del nodo che hai trovato nel passaggio precedente.
- NODE_PORT è il numero di porta del nodo che hai trovato nel passaggio precedente.
Esegui un comando SET e GET di Valkey per verificare di aver stabilito una connessione autenticata al nodo dell'istanza.
Al termine del test della connessione all'istanza Valkey, dovresti valutare la possibilità di eliminare la VM di Compute Engine che hai utilizzato per connetterti all'istanza Valkey. In questo modo, eviterai di incorrere in addebiti sul tuo account di fatturazione Cloud.
Esegui il seguente comando per utilizzare valkey-cli per autenticare e connetterti all'istanza, sostituendo le variabili con i valori appropriati:
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
Sostituisci quanto segue:
- NETWORK_ADDRESS è l'indirizzo di rete dell'istanza. Per visualizzare l' indirizzo di rete, consulta Visualizzare le informazioni sull'istanza.
- PORT è il numero di porta delle istanze. Per visualizzare il numero di porta, consulta Visualizzare le informazioni sull'istanza.
- ACCESS_TOKEN è il token di accesso IAM recuperato nei passaggi precedenti.
Nota: le connessioni autenticate sono valide per 12 ore. Per saperne di più, consulta Intervallo di tempo del token di accesso IAM.
Esegui un comando SET e GET di Valkey per verificare di aver stabilito una connessione autenticata all'istanza.
Al termine del test della connessione all'istanza Valkey, dovresti valutare la possibilità di eliminare la VM di Compute Engine che hai utilizzato per connetterti all'istanza Valkey. In questo modo, eviterai di incorrere in addebiti sul tuo account di fatturazione Cloud.

Automatizzare il recupero dei token di accesso

Ti consigliamo vivamente di automatizzare il recupero dei token di accesso nella tua applicazione. A causa della breve durata di un token di accesso, è difficile codificare il token.

(Facoltativo) Se non l'hai ancora fatto, crea un account di servizio per la tua applicazione (vedi Creare e gestire un service account).
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
Sostituisci quanto segue:
- SA_NAME è il nome del account di servizio.
- DESCRIPTION è una descrizione facoltativa del account di servizio.
- DISPLAY_NAME è il nome del account di servizio da visualizzare nella Google Cloud console.
Concedi al tuo account di servizio il ruolo memorystore.dbConnectionUser nel tuo progetto.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role=roles/"ROLE_NAME"
```
Sostituisci quanto segue:
- PROJECT_ID: l'ID progetto
- SA_NAME: il nome del account di servizio.
- ROLE_NAME: il nome di un ruolo Per questo esempio: memorystore.dbConnectionUser.
Autentica l'applicazione come il account di servizio specificato. Per saperne di più, consulta Service account.

Per esempi di codice che mostrano come autenticare l'applicazione utilizzando le librerie client più diffuse, consulta Esempi di codice della libreria client.

Esempio di codice per connettersi a un'istanza che utilizza l'autenticazione IAM

Per visualizzare un esempio di codice compatibile con Valkey su come configurare una libreria client per connettersi a un' istanza che utilizza l'autenticazione IAM, consulta Esempio di codice per l'autenticazione IAM e la crittografia in transito.

Risolvere i problemi relativi ai messaggi di errore con l'autenticazione IAM

Messaggio di errore	Comportamento consigliato	Descrizione
`-WRONGPASS invalid username-password pair or user is disabled`	Verifica il nome utente e il token di accesso forniti al server Memorystore for Valkey	Il nome utente o il token di accesso fornito non è valido. "default" è l'unico nome utente supportato. Se la tua applicazione utilizza già il nome utente "default", verifica che il token di accesso non sia scaduto e che venga recuperato seguendo le istruzioni riportate in Connettersi a un'istanza che utilizza l'autenticazione IAM. La propagazione delle autorizzazioni IAM potrebbe richiedere alcuni minuti se sono state modificate di recente.
`-NOAUTH Authentication required`	Verifica che l'applicazione sia configurata per fornire un token di accesso IAM al server Memorystore for Valkey	L'applicazione non fornisce un token di accesso al server Memorystore for Valkey. Verifica che l'applicazione sia configurata per fornire un token di accesso seguendo le istruzioni riportate in Connettersi a un'istanza che utilizza l'autenticazione IAM.
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded.`	Effettua nuovi tentativi con backoff esponenziale	Il backend IAM è sovraccarico e ha restituito un errore di superamento della quota al server Memorystore for Valkey. Le applicazioni devono tentare di riprovare a eseguire questo errore con backoff esponenziale per evitare ulteriori errori di connessione.
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error.`	Effettua nuovi tentativi con backoff esponenziale	Il backend IAM ha restituito un errore temporaneo al server Memorystore for Valkey. Le applicazioni devono tentare di riprovare a eseguire questo errore con backoff esponenziale per evitare ulteriori errori di connessione.