Rollenbasierte Zugriffskontrolle (RBAC) - Amazon ElastiCache für Redis
Spezifizierung von Berechtigungen mithilfe einer ZugriffszeichenfolgeAnwenden von RBAC auf einen Cache von ElastiCache für RedisMigrieren von Redis AUTH zu RBACMigration von RBAC zu Redis-AUTH

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenbasierte Zugriffskontrolle (RBAC)

Anstatt Benutzer wie in Authentifizieren mit dem Redis-AUTH-Befehl beschrieben mit dem Redis-AUTH-Befehl zu authentifizieren, können Sie ab Redis 6.0 eine Funktion namens Role-Based Access Control (RBAC, rollenbasierte Zugriffskontrolle) verwenden. RBAC ist auch die einzige Möglichkeit, den Zugriff auf Serverless-Caches zu kontrollieren.

Im Unterschied zu Redis-AUTH, bei dem alle authentifizierten Clients vollen Zugriff auf den Cache haben, wenn ihr Token authentifiziert ist, können Sie mit RBAC den Cache-Zugriff über Benutzergruppen steuern. Diese Benutzergruppen dienen dazu, den Zugriff auf Caches zu organisieren.

Mithilfe von RBAC erstellen Sie Benutzer und weisen ihnen bestimmte Berechtigungen zu, indem Sie eine Zugriffszeichenfolge verwenden, wie im Folgenden beschrieben. Die Benutzer werden Benutzergruppen zugewiesen, die auf eine bestimmte Rolle ausgerichtet sind (Administratoren, Personalabteilung) und dann für einen oder mehrere Caches von ElastiCache für Redis bereitgestellt werden. Dadurch können Sie Sicherheitsgrenzen zwischen Clients einrichten, die den- bzw. dieselben Redis-Caches verwenden, und verhindern, dass Clients gegenseitig auf ihre Daten zugreifen.

RBAC wurde entwickelt, um die Einführung von Redis ACL in Redis 6 zu unterstützen. Wenn Sie RBAC mit Ihrem Cache von ElastiCache für Redis verwenden, gibt es einige Einschränkungen:

  • Sie können keine Passwörter in einer Zugriffsfolge angeben. Sie legen Kennwörter mit den Aufrufen CreateUser oder ModifyUser.

  • Für Benutzerrechte übergeben Sie on und off als Teil der Zugriffszeichenfolge. Wenn in der Zugriffszeichenfolge keine angegeben ist, wird dem Benutzer off zugewiesen und er hat keine Zugriffsrechte für den Cache.

  • Sie können keine verbotenen oder umbenannten Befehle verwenden. Gibt man einen verbotenen oder einen umbenannten Befehl an, wird eine Ausnahme ausgelöst. Wenn Sie Zugriffskontrolllisten (ACLs) für einen umbenannten Befehl verwenden möchten, geben Sie den ursprünglichen Namen des Befehls an, d. h. den Namen des Befehls vor der Umbenennung.

  • Sie können den reset-Befehl als Teil einer Zugriffszeichenfolge nicht benutzen. Sie geben Kennwörter mit API-Parametern an und ElastiCache for Redis verwaltet Kennwörter. Daher können Sie reset nicht nutzen, da es alle Kennwörter für einen Benutzer entfernen würde.

  • Redis 6 führt den ACL-LISTE-Befehl ein. Dieser Befehl gibt eine Liste der Benutzer zusammen mit den ACL-Regeln zurück, die auf jeden Benutzer angewendet wurden. ElastiCache for Redis unterstützt den ACL LIST-Befehl, enthält aber keinen Support für Passwort-Hashes wie Redis sie hat. Mit ElastiCache for Redis können Sie die describe-user-Funktion verwenden, um ähnliche Informationen zu erhalten, einschließlich der Regeln, die in der Zugriffszeichenfolge enthalten sind. Jedoch ruft describe-user kein Benutzerkennwort ab.

    Andere schreibgeschützte Befehle, die von ElastiCache for Redis unterstützt werden, sind ACL WHOAMI, ACL USERS, und ACL CAT. ElastiCache for Redis unterstützt keinerlei andere schreibbasierte ACL-Befehle.

  • Die folgenden Einschränkungen gelten:

    Ressource Maximum erlaubt
    Benutzer pro Benutzergruppe 100
    Anzahl Benutzer 1000
    Anzahl der Benutzergruppen 100

Die Verwendung von RBAC mit ElastiCache for Redis wird im Folgenden detailierter beschrieben.

Themen

Spezifizierung von Berechtigungen mithilfe einer Zugriffszeichenfolge

Wenn Sie Berechtigungen für einen Cache von ElastiCache für Redis angeben möchten, erstellen Sie eine Zugriffszeichenfolge und weisen sie einem Benutzer entweder mit der AWS CLI oder der AWS Management Console zu.

Zugriffszeichenfolgen werden als eine Liste von durch Leerzeichen getrennten Regeln definiert, die für den Benutzer angewendet werden. Sie definieren, welche Befehle ein Benutzer ausführen kann und welche Schlüssel ein Benutzer benutzen kann. Um einen Befehl auszuführen, muss ein Benutzer Zugriff auf den ausgeführten Befehl und alle Schlüssel haben, auf die mit dem Befehl zugegriffen wird. Regeln werden von links nach rechts kumulativ angewendet und anstelle der angegebenen Zeichenfolge kann eine einfachere Zeichenfolge verwendet werden, wenn Redundanzen in der angegebenen Zeichenfolge vorhanden sind.

Weitere Informationen zur Syntax der ACL-Regeln finden Sie unter ACL.

Im folgenden Beispiel wird durch die Zugriffszeichenfolge ein aktiver Benutzer dargestellt, der Zugriff auf alle verfügbaren Schlüssel und Befehle hat.

on ~* +@all

Die Syntax der Zugriffszeichenfolge wird wie folgt verteilt:

  • on – Der Benutzer ist ein aktiver Benutzer.

  • ~* – Zugriff auf alle verfügbaren Schlüssel ist erlaubt.

  • +@all – Zugriff auf alle verfügbaren Befehle ist erlaubt.

Die vorgenannten Einstellungen sind am wenigsten restriktiv. Sie können diese Einstellungen ändern und sie sicherer zu machen.

Das folgende Beispiel zeigt einen Benutzer, der nur Lesezugriff auf Schlüssel hat, die mit dem Schlüsselbereich "app::" beginnen

on ~app::* -@all +@read

Sie können diese Berechtigungen weiter verfeinern, indem Sie die Befehle auflisten, auf die der Benutzer zugreifen kann:

+command1 – Der Zugriff des Benutzers auf Befehle ist auf command1 beschränkt.

+@category – Der Zugriff des Benutzers auf Befehle ist auf eine Kategorie von Befehlen beschränkt.

Informationen zum Zuweisen einer Zugriffszeichenfolge zu einem Benutzer finden Sie unter Erstellen von Benutzern und Benutzergruppen mit der Konsole und dem CLI.

Wenn Sie einen vorhandenen Workload zu ElastiCache migrieren, können Sie die Zugriffszeichenfolge durch den Aufruf von ACL LIST abrufen, wobei der Benutzer und alle Kennwort-Hashes ausgeschlossen werden.

Für Redis Version 6.2 und höher wird auch die folgende Syntax für Zugriffszeichenfolgen unterstützt:

  • &* – Zugriff auf alle verfügbaren Kanäle ist erlaubt.

Für Redis Version 7.0 und höher wird auch die folgende Syntax für Zugriffszeichenfolgen unterstützt:

  • | – kann zum Blockieren von Unterbefehlen verwendet werden (z. B. „-config|set“).

  • %R~<pattern> – fügt das angegebene Leseschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, aus Schlüsseln zu lesen, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter Wichtigen Berechtigungen.

  • %W~<pattern> – fügt das angegebene Schreibschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, in Schlüssel zu schreiben, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter Wichtigen Berechtigungen.

  • %RW~<pattern> – Alia für ~<pattern>.

  • (<rule list>) – erstellt einen neuen Selektor, mit dem die Regeln verglichen werden sollen. Selektoren werden nach den Benutzerberechtigungen und in der Reihenfolge bewertet, in der sie definiert sind. Wenn ein Befehl entweder den Benutzerberechtigungen oder einem beliebigen Selektor entspricht, ist er zulässig. Weitere Informationen finden Sie unter ACL-Selektoren.

  • clearselectors – löscht alle an den Benutzer angehängten Selektoren.

Anwenden von RBAC auf einen Cache für ElastiCache für Redis

Führen Sie die folgenden Schritte aus, um ElastiCache for Redis RBAC zu verwenden:

  1. Erstellung eines oder mehrerer Benutzer.

  2. Erstellen Sie eine Benutzergruppe und fügen Sie der Gruppe Benutzer hinzu.

  3. Weisen Sie die Benutzergruppe einen Cache zu, bei dem die Verschlüsselung während der Übertragung aktiviert ist.

Diese Schritte werden im Folgenden detailliert beschrieben.

Erstellen von Benutzern und Benutzergruppen mit der Konsole und dem CLI

Die Benutzerinformationen für RBAC-Benutzer sind eine Benutzer-ID, ein Benutzername, sowie optional ein Kennwort und eine Zugriffszeichenfolge. Die Zugriffszeichenfolge stellt die Berechtigungsstufe für Schlüssel und Befehle bereit. Die Benutzer-ID ist eindeutig für den Benutzer und der Benutzername wird an die Engine übergeben.

Vergewissern Sie sich, dass die von Ihnen bereitgestellten Benutzerberechtigungen für den beabsichtigten Zweck der Benutzergruppe sinnvoll sind. Wenn Sie beispielsweise eine Benutzergruppe mit dem Namen Administrators erstellen, sollte jeder Benutzer, den Sie dieser Gruppe hinzufügen, seine Zugriffszeichenfolge auf vollen Zugriff auf Schlüssel und Befehle gesetzt haben. Für Benutzer in einer e-commerce-Benutzergruppe können Sie die Zugriffszeichenfolge auf Nur-Lese-Zugriff setzen.

ElastiCache konfiguriert automatisch einen Standardbenutzer mit Benutzer-ID und Benutzername "default" und fügt sie allen Benutzergruppen hinzu. Sie können diesen Benutzer nicht löschen oder ändern. Dieser Benutzer ist für die Kompatibilität mit dem Standardverhalten früherer Redis-Versionen gedacht und hat eine Zugriffszeichenfolge, die es ihm erlaubt, alle Befehle aufzurufen und auf alle Schlüssel zuzugreifen.

Wenn Sie einem Cache eine angemessene Zugriffskontrolle hinzufügen möchten, ersetzen Sie diesen Standardbenutzer durch einen neuen, der nicht aktiviert ist oder ein sicheres Passwort verwendet. Um den Standardbenutzer zu ändern, erstellen Sie einen neuen Benutzer, dessen Benutzername aufdefault gesetzt ist. Sie können ihn dann mit dem ursprünglichen Standardbenutzer austauschen.

Führen Sie die folgenden Schritte aus, wie Sie den ursprünglichen default-Benutzer mit einem anderen default-Benutzer mit einer geänderten Zugriffszeichenfolge getauscht haben.

Ändern Sie den Standardbenutzer in der Konsole wie folgt:

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon-ElastiCache-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie aus dem Navigationsbereich Benutzergruppenverwaltung aus.

  3. Wählen Sie für Benutzergruppen-ID die ID aus, die Sie ändern möchten. Stellen Sie sicher, dass Sie den Link und nicht das Kontrollkästchen ausgewählt haben.

  4. Wählen Sie Ändern aus.

  5. Wählen Sie im Fenster Ändern die Option Verwalten und für den Benutzer, der als Standardbenutzer festgelegt werden, Benutzername aus.

  6. Wählen Sie Choose (Auswählen) aus.

  7. Wählen Sie Ändern aus. Wenn Sie dies tun, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Ändern Sie den Standardbenutzer mit der AWS CLI wie folgt:

  1. Erstellen Sie einen neuen Benutzer mit dem Benutzernamen default unter Verwendung der folgenden Befehle.

    Für Linux, macOS oder Unix:

    aws elasticache create-user \
 --user-id "new-default-user" \
 --user-name "default" \
 --engine "REDIS" \
 --passwords "a-str0ng-pa))word" \
 --access-string "off +get ~keys*"

    Für Windows:

    aws elasticache create-user ^
 --user-id "new-default-user" ^
 --user-name "default" ^
 --engine "REDIS" ^
 --passwords "a-str0ng-pa))word" ^
 --access-string "off +get ~keys*"

  2. Erstellen Sie eine Benutzergruppe und fügen Sie den von Ihnen zuvor erstellten Benutzer hinzu.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \
  --user-group-id "new-group-2" \
  --engine "REDIS" \
  --user-ids "new-default-user"

    Für Windows:

    aws elasticache create-user-group ^
  --user-group-id "new-group-2" ^
  --engine "REDIS" ^
  --user-ids "new-default-user"

  3. Tauschen Sie den neuen default-Benutzer mit dem ursprünglichen default-Benutzer.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group \
    --user-group-id test-group \
    --user-ids-to-add "new-default-user" \
    --user-ids-to-remove "default"

    Für Windows:

    aws elasticache modify-user-group ^
    --user-group-id test-group ^
    --user-ids-to-add "new-default-user" ^
    --user-ids-to-remove "default"

    Wenn dieser Änderungsvorgang aufgerufen wird, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

Beachten Sie insbesondere diese Benutzerpasswort-Restriktionen, wenn Sie RBAC-für-ElastiCache-for-Redis verwenden:

  • Passwörter müssen 16-128 druckbare Zeichen enthalten.

  • Folgende nicht-alphanumerische Zeichen sind nicht zulässig: , "" / @.

Verwalten von Benutzern mit der Konsole und dem CLI

Gehen Sie wie unten beschrieben vor, um die Benutzer in der Konsole zu verwalten.

Verwalten von Benutzern in der Konsole

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon-ElastiCache-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im Amazon-ElastiCache-Dashboard Benutzerverwaltung aus. Verfügbar sind die nachfolgend aufgeführten Optionen:

    • Benutzer erstellen – Beim Erstellen eines Benutzers geben Sie eine Benutzer-ID, einen Benutzernamen, einen Authentifizierungsmodus und eine Zugriffszeichenfolge ein. Die Zugriffszeichenfolge legt die Berechtigungsstufe fest, welche Schlüssel und Befehle für den Benutzer erlaubt sind.

      Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

    • Benutzer ändern – Ermöglicht Ihnen, die Authentifizierungseinstellungen eines Benutzers zu aktualisieren oder dessen Zugriffszeichenfolge zu ändern.

    • Benutzer löschen –Das Konto wird aus allen Benutzergruppen entfernt, zu denen es gehört.

Gehen Sie wie unten beschrieben vor, um die Benutzer im AWS CLI zu verwalten.

So ändern Sie einen Benutzer mit dem CLI

  • Verwenden des modify-user-Befehls, um das Passwort oder die Passwörter eines Benutzers zu aktualisieren oder die Zugriffsberechtigungen eines Benutzers zu ändern.

    Wenn ein Benutzer geändert wird, werden die Benutzergruppen, die dem Benutzer zugeordnet sind, gemeinsam mit allen Caches aktualisiert, die der Benutzergruppe zugeordnet sind. Alle vorhandenen Verbindungen werden gewartet. Im Folgenden sind einige Beispiele aufgeführt.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user \
  --user-id user-id-1 \
  --access-string "~objects:* ~items:* ~public:*" \
  --no-password-required

    Für Windows:

    aws elasticache modify-user ^
  --user-id user-id-1 ^
  --access-string "~objects:* ~items:* ~public:*" ^
  --no-password-required
Anmerkung

Wir raten davon ab, die nopass-Option zu nutzen. Wenn Sie dies tun, empfehlen wir, die Berechtigungen des Benutzers auf Nur-Lese-Zugriff und auf einen begrenzten Satz von Schlüsseln festzulegen.

So löschen Sie einen Benutzer mit dem CLI

  • Verwenden Sie den Befehl delete-user, um einen Benutzer zu löschen. Das Konto wird gelöscht und aus allen zugehörigen Benutzergruppen entfernt. Im Folgenden wird ein Beispiel gezeigt.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user \
  --user-id user-id-2

    Für Windows:

    aws elasticache delete-user ^
  --user-id user-id-2

Um eine Liste der Benutzer anzuzeigen, rufen Sie die describe-user-Operation auf. 

aws elasticache describe-users

Verwalten von Benutzergruppen mit der Konsole und dem CLI

Sie können Benutzergruppen erstellen, um den Zugriff von Benutzern auf einen oder mehrere Caches zu organisieren und zu steuern, wie im Folgenden dargestellt.

Gehen Sie wie unten beschrieben vor, um die Benutzergruppen in der Konsole zu verwalten.

So verwalten Sie Benutzergruppen mithilfe der Konsole

  1. Melden Sie sich in der AWS Management Console an und öffnen Sie die Amazon-ElastiCache-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im Amazon-ElastiCache-Dashboard Benutzergruppenverwaltung aus.

    Die folgenden Operationen sind verfügbar, um neue Benutzergruppen zu erstellen:

    • Erstellen – Wenn Sie eine Benutzergruppe erstellen, fügen Sie Benutzer hinzu und ordnen die Benutzergruppen dann Caches zu. So können Sie beispielsweise eine Admin-Benutzergruppe für Benutzer erstellen, die über Administratorrollen in einem Cache verfügen.

      Wichtig

      Wenn Sie eine Benutzergruppe erstellen, müssen Sie den Standardbenutzer einbeziehen.

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe Benutzer hinzu.

    • Entfernen von Benutzern – Entfernt Benutzer aus der Benutzergruppe. Wenn Benutzer aus einer Benutzergruppe entfernt werden, werden alle vorhandenen Verbindungen, die diese mit einem Cache haben, beendet.

    • Löschen – Verwenden Sie diese Option, um eine Benutzergruppe zu löschen. Beachten Sie, dass nur die Benutzergruppe selbst und nicht die Benutzer, die zu dieser Gruppe gehören, gelöscht wird.

    Für bestehende Benutzergruppen können Sie die folgenden Aktionen ausführen:

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe bereits vorhandene Benutzer hinzu.

    • Benutzer löschen – Entfernt vorhandene Benutzer aus der Benutzergruppe.

      Anmerkung

      Benutzer werden von der Benutzergruppe entfernt, aber nicht aus dem System gelöscht.

Gehen Sie wie unten beschrieben vor, um die Benutzergruppen im CLI zu verwalten.

So erstellen Sie eine neue Benutzergruppe und fügen einen Benutzer mittels der CLI hinzu

  • Geben Sie wie nachfolgend gezeigt den create-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \
  --user-group-id "new-group-1" \
  --engine "REDIS" \
  --user-ids user-id-1, user-id-2

    Für Windows:

    aws elasticache create-user-group ^
  --user-group-id "new-group-1" ^
  --engine "REDIS" ^
  --user-ids user-id-1, user-id-2
So ändern Sie eine Benutzergruppe durch Hinzufügen neuer Benutzer oder Entfernen aktueller Mitglieder mit der CLI

  • Geben Sie wie nachfolgend gezeigt den modify-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group --user-group-id new-group-1 \
--user-ids-to-add user-id-3 \
--user-ids-to-remove user-id-2

    Für Windows:

    aws elasticache modify-user-group --user-group-id new-group-1 ^
--user-ids-to-add userid-3 ^
--user-ids-to-removere user-id-2
Anmerkung

Alle offenen Verbindungen, die zu einem Benutzer gehören, der aus einer Benutzergruppe entfernt wurde, werden mit diesem Befehl beendet.

So löschen Sie eine Benutzergruppe mit dem CLI

  • Geben Sie wie nachfolgend gezeigt den delete-user-group-Befehl ein. Die Benutzergruppe selbst, nicht die zur Gruppe gehörenden Benutzer, wird gelöscht.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user-group /
   --user-group-id

    Für Windows:

    aws elasticache delete-user-group ^
   --user-group-id

Um eine Liste von Benutzergruppen anzuzeigen, können Sie die beschreibe-benutzergruppen-Operation verwenden.

aws elasticache describe-user-groups \
  --user-group-id test-group

Zuweisen von Benutzergruppen zu Serverless-Caches

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung von RBAC darin, diese Benutzergruppe einem Serverless-Cache zuzuweisen.

Zuweisen von Benutzergruppen zu Serverless-Caches mithilfe der Konsole

Zum Hinzufügen einer Benutzergruppe zu einem Serverless-Cache mit der AWS Management Console gehen Sie wie folgt vor:

Zuweisen von Benutzergruppen zu Serverless-Caches mithilfe der AWS CLI

Die folgende AWS CLI-Operation erstellt einen Serverless-Cache unter Verwendung des Parameters user-group-id mit dem Wert my-user-group-id. Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter

  • --engine – Der Wert muss redis sein.

  • --user-group-id – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

Für Linux, macOS oder Unix:

aws elasticache create-serverless-cache \
    --serverless-cache-name "new-serverless-cache" \
    --description "new-serverless-cache" \
    --engine "redis" \
    --user-group-id "new-group-1"

Für Windows:

aws elasticache create-serverless-cache ^
    --serverless-cache-name "new-serverless-cache" ^
    --description "new-serverless-cache" ^
    --engine "redis" ^
    --user-group-id "new-group-1"

Die folgende AWS CLI-Operation ändert einen Serverless-Cache unter Verwendung des Parameters user-group-id mit dem Wert my-user-group-id.

Für Linux, macOS oder Unix:

aws elasticache modify-serverless-cache \
    --serverless-cache-name serverless-cache-1 \
    --user-group-id "new-group-2"

Für Windows:

aws elasticache modify-serverless-cache ^
    --serverless-cache-name serverless-cache-1 ^
    --user-group-id "new-group-2"

Beachten Sie, dass jegliche an einem Cache vorgenommenen Änderungen asynchron aktualisiert werden. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter Anzeigen von ElastiCache-Ereignissen.

Zuweisung von Benutzergruppen zu Replikationsgruppen

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung von RBAC darin, diese Benutzergruppe einer Replikationsgruppe zuzuweisen.

Zuweisen von Benutzergruppen zu Replikationsgruppen mit der Konsole

Zum Hinzufügen einer Benutzergruppe zu einer Replikation mit der AWS Management Console gehen Sie wie folgt vor:

Zuweisen von Benutzergruppen zu Replikationsgruppen mit dem AWS CLI

Die folgende AWS CLI-Operation erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids-Parameter mit dem Wert my-user-group-id. Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter

  • --engine – Der Wert muss redis sein.

  • --engine-version – Muss 6.0 oder höher sein.

  • --transit-encryption-enabled – Erforderlich für die Authentifizierung und zum Zuordnen einer Benutzergruppe.

  • --user-group-ids – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

  • --cache-subnet-group – Erforderlich für die Zuordnung einer Benutzergruppe.

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id "new-replication-group" \
    --replication-group-description "new-replication-group" \
    --engine "redis" \
    --cache-node-type cache.m5.large \
    --transit-encryption-enabled \
    --user-group-ids "new-group-1" \
    --cache-subnet-group "cache-subnet-group"

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id "new-replication-group" ^
    --replication-group-description "new-replication-group" ^
    --engine "redis" ^
    --cache-node-type cache.m5.large ^
    --transit-encryption-enabled ^
    --user-group-ids "new-group-1" ^
    --cache-subnet-group "cache-subnet-group"

Die folgende AWS CLI-Operation erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids-Parameter mit dem Wert my-user-group-id.

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
    --replication-group-id replication-group-1 \
    --user-group-ids-to-remove "new-group-1" \
    --user-group-ids-to-add "new-group-2"

Für Windows:

aws elasticache modify-replication-group ^
    --replication-group-id replication-group-1 ^
    --user-group-ids-to-remove "new-group-1" ^
    --user-group-ids-to-add "new-group-2"

Beachten Sie die PendingChanges in der Antwort. Jegliche an einem Cache vorgenommenen Änderungen werden asynchron aktualisiert. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter Anzeigen von ElastiCache-Ereignissen.

Migrieren von Redis AUTH zu RBAC

Wenn Sie Redis-AUTH wie in Authentifizieren mit dem Redis-AUTH-Befehl beschrieben verwenden und auf RBAC umstellen möchten, gehen Sie wie folgt vor.

Gehen Sie wie unten beschrieben vor, um von Redis-AUTH über die Konsole zu RBAC zu migrieren.

Migration von RBAC zu Redis-AUTH in der Konsole

  1. Melden Sie sich bei AWS Management Console an und öffnen Sie die ElastiCache-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie aus der Liste in der oberen rechten Ecke die AWS-Region aus, in der sich der Cache befindet, den Sie ändern möchten.

  3. Wählen Sie im Navigationsbereich die Engine, die in dem Cache ausgeführt wird, den Sie ändern möchten.

    Es wird eine Liste der Caches der ausgewählten Engine angezeigt.

  4. Wählen Sie in der Liste der Caches den Namen des Caches aus, den Sie ändern möchten.

  5. Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.

    Das Fenster Ändern wird angezeigt.

  6. Wählen Sie für Zugriffskontroll die Option Zugriffskontrollliste für Benutzergruppen aus.

  7. Wählen Sie für Zugriffskontrollliste für Benutzergruppen eine Benutzergruppe aus.

  8. Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.

Gehen Sie wie unten beschrieben vor, um von Redis-AUTH zu RBAC durch Verwendung von CLI zu migrieren.

Migration von RBAC zu Redis-AUTH durch Verwendung von CLI

  • Geben Sie wie nachfolgend gezeigt den modify-replication-group-Befehl ein.

    Für Linux, macOS oder Unix:

      
aws elasticache modify-replication-group --replication-group-id test \
    --auth-token-update-strategy DELETE \
    --user-group-ids-to-add user-group-1

    Für Windows:

      
aws elasticache modify-replication-group --replication-group-id test ^
    --auth-token-update-strategy DELETE ^
    --user-group-ids-to-add user-group-1

Migration von RBAC zu Redis-AUTH

Wenn Sie RBAC verwenden und zu Redis-AUTH migrieren möchten, finden Sie weitere Informationen unter Migration von RBAC zu Redis-AUTH.

Anmerkung

Wenn Sie die Zugriffskontrolle in einem ElastiCache-Cache deaktivieren müssen, verwenden Sie dazu die AWS CLI. Weitere Informationen finden Sie unter Deaktivieren der Zugriffskontrolle in einem Redis-Cache von ElastiCache.