有什么方法可以启用 Google Memorystore 的身份验证和授权？答案

【问题标题】：Is there any way to enable Authentication and authorization for Google Memorystore?有什么方法可以启用 Google Memorystore 的身份验证和授权？
【发布时间】：2020-10-05 06:30:53
【问题描述】：

我将 Google Memorystore for Redis 用于我们的内存数据存储，我正在处理数据流管道以处理和转换输入文件并将处理后的数据存储在 Google Memorystore 中。

但是我们有什么方法可以为 memorystore 启用身份验证和授权，以便其他应用程序可以使用令牌或其他身份验证机制进行访问？

我没有从官方文档中得到太多信息。但是，我得到了 stackoverflow 的答案，但不清楚。

How to add password to google cloud memorystore

高度赞赏任何参考链接。

【问题讨论】：

标签： google-cloud-platform google-cloud-memorystore

【解决方案1】：

根据官方文档：

Connecting to a Redis instance

“您可以从任何 Compute Engine VM 连接到 Redis 实例实例位于相同的项目、区域和网络中 Redis 实例。”

因此，不支持使用服务帐户凭据对 memorystore 进行身份验证和授权。

针对此限制打开了功能请求：

Implementing Authentication for Cloud Memorystore Public

【讨论】：

【解决方案2】：

您可以定义firewall rules on service account。像这样，身份验证是安装在 VM 上的服务帐户，它试图访问 memoryStore（端口 6379）。授权是防火墙规则本身（允许或拒绝来自服务帐户的流量）。

【讨论】：

我正在通过连接到 memorystore 的 pod 部署我的应用程序。但是我没有在我的服务帐户中添加任何角色来从内存存储中检索数据，但它仍然可以连接。我们如何在连接之前确认它已通过身份验证。
您是否使用服务帐户定义了防火墙规则？如果是这样，请更改此服务帐户并确认您不再有权访问内存存储。因此，正如我所描述的，服务帐户提供身份验证（身份），而不是授权。对于其他服务，授权是使用 IAM 角色定义的，但在那里，防火墙规则允许或拒绝请求身份（使用服务帐户）