このページは Cloud Translation API によって翻訳されました。

IAM 認証を管理する

このページでは、Memorystore for Valkey の IAM 認証機能の一般的なタスクに関する手順について説明します。この機能の詳細については、IAM 認証についてをご覧ください。

IAM 認証を使用してインスタンスを作成する

IAM 認証を使用する Memorystore for Valkey インスタンスを作成するには、create コマンドを実行します。

gcloud memorystore instances create INSTANCE_ID --region=REGION_ID --network=NETWORK --node-type=NODE_TYPE --shard-count=SHARD_COUNT --auth-mode=iam-auth

以下を置き換えます。

INSTANCE_ID は、作成する Memorystore for Valkey インスタンスの ID です。インスタンス ID は 1〜63 文字にする必要があり、小文字、数字、ハイフンのみ使用できます。先頭は英小文字に、末尾は英小文字または数字にする必要があります。
REGION_ID は、インスタンスを配置するリージョンです。
NETWORK は、インスタンスの作成に使用されるネットワークです。形式は projects/NETWORK_PROJECT_ID/global/networks/NETWORK_ID にする必要があります。ここで使用するネットワーク ID は、サービス接続ポリシーで使用するネットワーク ID と一致する必要があります。それ以外の場合、create オペレーションは失敗します。詳しくは、ネットワーキングをご覧ください。
NODE_TYPE は、選択したノードタイプです。次の値が利用できます。
- shared-core-nano
- standard-small
- highmem-medium
- highmem-xlarge
注意: このノードタイプには SLA がないため、開発またはテスト目的でのみ shared-core-nano ノードタイプを使用することをおすすめします。本番環境で Memorystore for Valkey を実行する場合は、standard-small、highmem-medium、または highmem-xlarge のノードタイプを使用することをおすすめします。これらのノードタイプの詳細については、ノードタイプを選択するをご覧ください。
SHARD_COUNT によってインスタンス内のシャードの数が決定されます。シャード数によって、インスタンスデータを保存するための合計メモリ容量が決定されます。インスタンス仕様の詳細については、インスタンスとノードの仕様をご覧ください。

IAM 認証の権限を付与する

IAM アクセス権を付与するには、IAM ロールを付与する手順に沿って、プリンシパルに roles/memorystore.dbConnectionUser ロールを付与します。

デフォルトでは、プリンシパルに roles/memorystore.dbConnectionUser ロールを付与すると、プリンシパルはプロジェクト内のすべてのインスタンスにアクセスできます。

インスタンスに対して制限付き IAM 管理者ロールを作成する

完全な IAM 管理者アクセス権を付与せずに、インスタンス接続の IAM 権限を変更できるロールを作成することもできます。これを行うには、roles/memorystore.dbConnectionUser ロールの制限付き IAM 管理者を作成します。詳細については、制限付き IAM 管理者を作成するをご覧ください。

IAM 認証を使用するインスタンスに接続する

Valkey インスタンスと同じ承認済みネットワークを使用する Compute Engine VM がまだない場合は、作成してから、Linux VM の使用に関するクイックスタートに沿って接続します。
プロジェクトで Cloud Platform API スコープを有効にします。このアクセススコープを有効にする方法については、サービスアカウントを接続してアクセススコープを更新するをご覧ください。このスコープのベストプラクティスの詳細については、スコープのベストプラクティスをご覧ください。
プロジェクトで Memorystore for Valkey API を有効にします。
Memorystore for Valkey API
Valkey をインストールするの手順に沿って、valkey-cli を Compute Engine VM にインストールします。
次のコマンドを実行して、IAM ユーザーのアクセストークンを取得します。
```
gcloud auth print-access-token
```
注: アクセストークンは 1 時間で期限切れになります。詳細については、IAM アクセストークンの期間をご覧ください。
インスタンスの検出エンドポイントに接続します。
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NETWORK_ADDRESS は、インスタンスのネットワークアドレスです。ネットワークアドレスを表示するには、インスタンス情報を表示するをご覧ください。
- PORT はインスタンスのポート番号です。ポート番号を表示するには、インスタンス情報を表示するをご覧ください。
- ACCESS_TOKEN は、前の手順で取得した IAM アクセストークンです。
注: 認証された接続は 12 時間有効です。詳細については、IAM アクセストークンの期間をご覧ください。
CLUSTER SHARDS コマンドを実行して、ノードトポロジを表示します。ノードの IP アドレスとポート番号のいずれかをメモします。
次のコマンドを実行して、選択したノードに接続します。
```
valkey-cli -h NODE_IP_ADDRESS -p NODE_PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NODE_IP_ADDRESS は、前のステップで確認したノードの IP アドレスです。
- NODE_PORT は、前のステップで確認したノードのポート番号です。
Valkey の SET と GET のコマンドを実行して、インスタンスのノードに対する認証済み接続が確立されたことを確認します。
Valkey インスタンスへの接続をテストしたら、Valkey インスタンスへの接続に使用した Compute Engine VM を削除することを検討してください。そうすることで、Cloud 請求先アカウントへの課金を回避できます。
次のコマンドを実行して valkey-cli を使用し、認証を行いインスタンスに接続します。変数は適切な値に置き換えます。
```
valkey-cli -h NETWORK_ADDRESS -p PORT -a ACCESS_TOKEN -c
```
以下を置き換えます。
- NETWORK_ADDRESS は、インスタンスのネットワークアドレスです。ネットワークアドレスを表示するには、インスタンス情報を表示するをご覧ください。
- PORT はインスタンスのポート番号です。ポート番号を表示するには、インスタンス情報を表示するをご覧ください。
- ACCESS_TOKEN は、前の手順で取得した IAM アクセストークンです。
注: 認証された接続は 12 時間有効です。詳細については、IAM アクセストークンの期間をご覧ください。
Valkey の SET と GET のコマンドを実行して、インスタンスに対する認証済み接続が確立されたことを確認します。
Valkey インスタンスへの接続をテストしたら、Valkey インスタンスへの接続に使用した Compute Engine VM を削除することを検討してください。そうすることで、Cloud 請求先アカウントへの課金を回避できます。

アクセストークンの取得を自動化する

アクセストークンの有効期限は短いため、アクセストークンは簡単にハードコードできません。そのため、アプリケーションでアクセストークンの取得を自動化することをおすすめします。

（省略可）まだ作成していない場合は、アプリケーションのサービスアカウントを作成します（サービスアカウントの作成と管理を参照）。
```
gcloud iam service-accounts create SA_NAME \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME"
```
以下を置き換えます。
- SA_NAME はサービスアカウントの名前です。
- DESCRIPTION は、サービスアカウントの説明です（省略可能）。
- DISPLAY_NAME は、Google Cloud コンソールに表示するサービスアカウント名です。
サービスアカウントにプロジェクトに対する memorystore.dbConnectionUser 権限を付与します。
```
gcloud projects add-iam-policy-binding PROJECT_ID \
--member="serviceAccount:SA_NAME@PROJECT_ID.iam.gserviceaccount.com" \
--role="memorystore.dbConnectionUser"
```
以下を置き換えます。
- PROJECT_ID は、プロジェクト ID です。
- SA_NAME はサービスアカウントの名前です。
- ROLE_NAME はロール名です（roles/compute.osLogin など）。
指定されたサービスアカウントとしてアプリケーションを認証します。詳細については、サービスアカウントをご覧ください。

一般的なクライアントライブラリを使用してアプリケーションを認証する方法を示すコードサンプルについては、クライアントライブラリのコードサンプルをご覧ください。

IAM 認証を使用するインスタンスに接続するためのコードサンプル

IAM 認証を使用するインスタンスに接続するようにクライアントライブラリを設定する方法を示す Valkey 互換のコードサンプルについては、IAM 認証と転送中の暗号化の両方のコードサンプルをご覧ください。

IAM 認証に関するエラーメッセージのトラブルシューティング

エラーメッセージ	推奨される対処方法	説明
`-WRONGPASS invalid username-password pair or user is disabled`	Memorystore for Valkey サーバーに提供されたユーザー名とアクセストークンを確認する	指定されたユーザー名またはアクセストークンが無効です。サポートされているユーザー名は「default」のみです。アプリケーションですでに「default」ユーザー名を使用している場合は、アクセストークンが期限切れになっておらず、IAM 認証を使用するインスタンスに接続するの手順に沿って取得されていることを確認します。IAM 権限が最近変更された場合、反映されるまでに数分かかることがあります。
`-NOAUTH Authentication required`	アプリケーションが Memorystore for Valkey サーバーに IAM アクセストークンを提供するように構成されていることを確認する	アプリケーションが Memorystore for Valkey サーバーにアクセストークンを提供していません。IAM 認証を使用するインスタンスに接続するの手順に沿って、アクセストークンを提供するようにアプリケーションが構成されていることを確認します。
`-ERR (ERR_IAM_EXHAUSTED) Memorystore IAM authentication backend quota exceeded. See https://cloud.google.com/memorystore/docs/valkey/manage-iam-auth#error_messages.`	指数バックオフを使用して再試行する	IAM バックエンドが過負荷になり、割り当て超過エラーが Memorystore for Valkey サーバーに返されました。アプリケーションは、指数バックオフを使用してこのエラーの再試行を試み、接続障害の再発を防ぐ必要があります。
`-ERR (ERR_IAM_OTHER) Memorystore IAM authentication backend error. See https://cloud.google.com/memorystore/docs/valkey/manage-iam-auth#error_messages.`	指数バックオフを使用して再試行する	IAM バックエンドが Memorystore for Valkey サーバーに一時的なエラーを返しました。アプリケーションは、指数バックオフを使用してこのエラーの再試行を試み、接続障害の再発を防ぐ必要があります。