Authentifizierung mit dem Redis OSS AUTH-Befehl

Anmerkung

Redis OSS AUTH wurde ersetzt durch. Rollenbasierte Zugriffskontrolle (RBAC) Alle Serverless-Caches müssen RBAC für die Authentifizierung verwenden.

Redis OSS-Authentifizierungstoken oder -Passwörter ermöglichen es Redis OSS, ein Passwort anzufordern, bevor Clients Befehle ausführen können, wodurch die Datensicherheit verbessert wird. Redis OSS AUTH ist nur für selbst entworfene Cluster verfügbar.

Überblick über AUTH in ElastiCache (Redis OSS)

Wenn Sie das Redis OSS AUTH mit Ihrem ElastiCache (Redis OSS) -Cluster verwenden, gibt es einige Verbesserungen.

Beachten Sie insbesondere diese Einschränkungen für AUTH-Token oder Passwörter, wenn Sie AUTH mit ElastiCache (Redis OSS) verwenden:

• Token oder Kennwörter müssen 16-128 druckbare Zeichen enthalten.

• Nicht alphanumerische Zeichen sind auf (!, &, #, $, ^, <, >, -).

• AUTH kann nur für Cluster mit aktivierter Verschlüsselung bei der Übertragung ElastiCache (Redis OSS) aktiviert werden.

Um ein starkes Token einzurichten, wird empfohlen, eine strenge Passwortrichtlinie zu befolgen, z. B. die Folgende:

• Token oder Passwörter müssen mindestens drei der folgenden Zeichentypen enthalten:

  • Uppercase characters

  • Lowercase characters

  • Ziffern

  • Nicht-alphanumerische Zeichen (!, &, #, $, ^, <, >, -)

• Token oder Passwörter dürfen kein Wörterbuchwort oder ein leicht modifiziertes Wörterbuchwort enthalten.

• Tokens oder Passwörter dürfen nicht mit einem kürzlich verwendeten Token identisch oder diesem ähnlich sein.

Anwenden der Authentifizierung auf einen ElastiCache (Redis OSS) -Cluster

Sie können verlangen, dass Benutzer ein Token (Passwort) auf einem tokengeschützten Redis OSS-Server eingeben. Geben Sie dazu beim Erstellen Ihrer Replikationsgruppe oder Ihres Clusters den Parameter --auth-token (API: AuthToken) mit dem richtigen Token an. Fügen Sie ihn auch in alle nachfolgenden Befehle an die Replikationsgruppe oder den Cluster ein.

Der folgende AWS CLI Vorgang erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem Token. AUTH This-is-a-sample-token Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter

• --engine – Der Wert muss redis sein.

• --engine-version – Muss 3.2.6, 4.0.10 oder höher sein.

• --transit-encryption-enabled – Erforderlich für Authentifizierung und HIPAA-Berechtigung.

• --auth-token – Für HIPAA-Konformität erforderlich. Dieser Wert muss das richtige Token für diesen tokengeschützten Redis OSS-Server sein.

• --cache-subnet-group – Für HIPAA-Konformität erforderlich.

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Ändern des AUTH-Tokens auf einem vorhandenen ElastiCache Cluster (Redis OSS)

Um die Aktualisierung Ihrer Authentifizierung zu vereinfachen, können Sie das auf einem ElastiCache (Redis OSS) -Cluster verwendete AUTH Token ändern. Sie können diese Änderung vornehmen, wenn die Engine-Version 5.0.6 oder höher ist und wenn ElastiCache (Redis OSS) die Verschlüsselung bei der Übertragung aktiviert hat.

Das Ändern des Authentifizierungs-Token unterstützt zwei Strategien: ROTATE und SET. Die ROTATE-Strategie fügt dem Server ein zusätzliches AUTH-Token hinzu, wobei das vorherige Token beibehalten wird. Die SET-Strategie aktualisiert den Server so, dass er nur ein einziges AUTH-Token unterstützt. Führen Sie diese Änderungsaufrufe mit dem --apply-immediately-Parameter durch, um die Änderungen sofort anzuwenden.

Rotation des AUTH-Tokens

Um einen Redis OSS-Server mit einem neuen AUTH-Token zu aktualisieren, rufen Sie die ModifyReplicationGroup API mit dem --auth-token Parameter als neuem AUTH Token und dem --auth-token-update-strategy Wert ROTATE auf. Nach Abschluss der ROTATE-Änderung unterstützt der Cluster zusätzlich zu dem im Parameter angegebenen auch das vorherige AUTH-Token. auth-token Wenn vor der AUTH-Token-Rotation kein AUTH-Token für die Replikationsgruppe konfiguriert wurde, unterstützt der Cluster das im --auth-token Parameter angegebene AUTH-Token zusätzlich zur Unterstützung von Verbindungen ohne Authentifizierung. Informationen Setzen des AUTH-Tokens zur Aktualisierung des erforderlichen AUTH-Tokens finden Sie unter Verwendung der Aktualisierungsstrategie SET.

Anmerkung

Wenn Sie das AUTH-Token vorher nicht konfigurieren, unterstützt der Cluster nach Abschluss der Änderung zusätzlich zu dem AUTH-Token, das im AUTH-Token-Parameter angegeben ist, kein weiteres AUTH-Token.

Wenn diese Änderung auf einem Server durchgeführt wird, der bereits zwei AUTH-Token unterstützt, wird bei diesem Vorgang auch das älteste AUTH-Token entfernt. Dadurch kann ein Server bis zu zwei aktuelle AUTH-Token gleichzeitig unterstützen.

An dieser Stelle können Sie fortfahren, indem Sie den Client so aktualisieren, dass er das neueste AUTH-Token verwendet. Nachdem die Clients aktualisiert wurden, können Sie die SET-Strategie für die AUTH-Token-Rotation (im folgenden Abschnitt erläutert) verwenden, um ausschließlich den neuen Token zu verwenden.

Mit dem folgenden AWS CLI Vorgang wird eine Replikationsgruppe so geändert, dass das Token rotiert wirdAUTH. This-is-the-rotated-token

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Für Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Setzen des AUTH-Tokens

Um einen Redis OSS-Server so zu aktualisieren, dass er ein einzelnes erforderliches AUTH Token unterstützt, rufen Sie den ModifyReplicationGroup API-Vorgang mit dem --auth-token Parameter auf, der denselben Wert wie das letzte AUTH-Token hat, und dem --auth-token-update-strategy Parameter mit dem Wert. SET Die SET-Strategie kann nur mit einem Cluster verwendet werden, der über 2 AUTH-Token oder 1 optionales AUTH-Token verfügt, wenn zuvor eine ROTATE-Strategie verwendet wurde. Nach Abschluss der Änderung unterstützt der Redis OSS-Server nur das im Parameter auth-token angegebene AUTH-Token.

Der folgende AWS CLI Vorgang ändert eine Replikationsgruppe, auf die das AUTH-Token gesetzt werden soll. This-is-the-set-token

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Für Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Aktivierung der Authentifizierung auf einem vorhandenen Cluster ElastiCache (Redis OSS)

Um die Authentifizierung auf einem vorhandenen Redis OSS-Server zu aktivieren, rufen Sie den ModifyReplicationGroup API-Vorgang auf. Rufen Sie ModifyReplicationGroup mit dem --auth-token-Parameter als neuem Token und --auth-token-update-strategy mit dem Wert ROTATE auf.

Nach Abschluss der ROTATE-Änderung unterstützt der Cluster das im --auth-token Parameter angegebene AUTH Token zusätzlich zur Unterstützung von Verbindungen ohne Authentifizierung. Sobald alle Client-Anwendungen für die Authentifizierung bei Redis OSS mit dem AUTH-Token aktualisiert wurden, verwenden Sie die SET-Strategie, um das AUTH-Token als erforderlich zu markieren. Die Aktivierung der Authentifizierung wird nur auf Redis OSS-Servern unterstützt, auf denen Encryption in Transit (TLS) aktiviert ist.

Migration von RBAC zu Redis OSS AUTH

Wenn Sie Benutzer mit Redis OSS Role-Based Access Control (RBAC) authentifizieren, wie unter beschriebenRollenbasierte Zugriffskontrolle (RBAC), und Sie zu Redis OSS AUTH migrieren möchten, verwenden Sie die folgenden Verfahren. Sie können entweder mit der Konsole oder mit dem CLI migrieren.

Um mithilfe der Konsole von RBAC zu Redis OSS AUTH zu migrieren

1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Konsole unter https://console.aws.amazon.com/elasticache/ ElastiCache .

2. Wählen Sie aus der Liste in der oberen rechten Ecke die AWS Region aus, in der sich der Cluster befindet, den Sie ändern möchten.

3. Wählen Sie im Navigationsbereich die Engine, die auf dem Cluster ausgeführt wird, den Sie modifizieren möchten.

   Es wird eine Liste der ausgewählten Engine-Cluster angezeigt.

4. Wählen Sie in der Liste der Cluster den Namen des Clusters aus, den Sie modifizieren möchten..

5. Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.

   Das Fenster Ändern wird angezeigt.

6. Wählen Sie für Access Control die Option Redis OSS AUTH default user access aus.

7. Legen Sie unter Redis OSS AUTH-Token ein neues Token fest.

8. Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.

Um von RBAC zu Redis OSS AUTH zu migrieren, verwenden Sie AWS CLI

Verwenden Sie einen der folgenden Befehle, um ein neues optionales AUTH Token für Ihre Redis OSS-Replikationsgruppe zu konfigurieren. Beachten Sie, dass ein optionales Auth-Token einen nicht authentifizierten Zugriff auf die Replikationsgruppe ermöglicht, bis das Auth-Token als erforderlich markiert ist. Verwenden Sie dabei die Aktualisierungsstrategie SET im folgenden Schritt.

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately 

Für Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately 

Nachdem Sie den obigen Befehl ausgeführt haben, können Sie Ihre Redis OSS-Anwendungen aktualisieren, um sich mit dem neu konfigurierten optionalen AUTH-Token bei der ElastiCache Replikationsgruppe zu authentifizieren. Verwenden Sie die Aktualisierungsstrategie SET im nachfolgenden Befehl unten, um die Auth-Token-Rotation abzuschließen. Dadurch wird das optionale AUTH-Token als erforderlich markiert. Wenn das Auth-Token-Update abgeschlossen ist, wird der Status der Replikationsgruppe als angezeigt ACTIVE und für alle Redis OSS-Verbindungen zu dieser Replikationsgruppe ist eine Authentifizierung erforderlich.

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately 

Für Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Weitere Informationen finden Sie unter Authentifizierung mit dem Redis OSS AUTH-Befehl.

Anmerkung

Wenn Sie die Zugriffskontrolle auf einem ElastiCache Cluster deaktivieren müssen, finden Sie weitere Informationen unter. Deaktivieren der Zugriffskontrolle auf einem ElastiCache Redis OSS-Cache