Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Autenticación con el comando Valkey y Redis OSS AUTH
nota
El AUTH ha sido reemplazado por. Control de acceso basado en roles () RBAC Todas las cachés sin servidor se deben usar para la autenticación. RBAC
Los identificadores o contraseñas de OSS autenticación de Valkey y Redis permiten OSS a Valkey y Redis solicitar una contraseña antes de permitir que los clientes ejecuten comandos, lo que mejora la seguridad de los datos. AUTHEstá disponible solo para clústeres de diseño propio.
Temas
Descripción general de AUTH In ElastiCache with Valkey y Redis OSS
Cuando lo usa AUTH ElastiCache con su OSS clúster de Valkey o Redis, hay algunas mejoras.
En particular, tenga en cuenta estas restricciones de AUTH token o contraseña cuando utilice: AUTH
-
Los tokens o contraseñas, deben tener entre 16 y 128 caracteres imprimibles.
-
Los caracteres no alfanuméricos están restringidos a (!, &, #, $, ^, <, >, -).
-
AUTHsolo se puede habilitar para el cifrado en tránsito habilitado ElastiCache con clústeres de Valkey o OSS Redis.
Para configurar un token seguro, recomendamos que siga una política de contraseña estricta, como las que exigen las siguientes condiciones:
-
Los tokens o contraseñas deben incluir al menos tres de los siguientes tipos de caracteres:
-
Caracteres en mayúsculas
-
Caracteres en minúsculas
-
Dígitos
-
Caracteres no alfanuméricos (
!
,&
,#
,$
,^
,<
,>
,-
)
-
-
Los identificadores o contraseñas no deben contener una palabra del diccionario ni una palabra del diccionario ligeramente modificada.
-
Los identificadores o contraseñas no deben ser iguales o similares a los identificadores usados recientemente.
Aplicar la autenticación a un clúster ElastiCache con Valkey o Redis OSS
Puede exigir a los usuarios que introduzcan un token (contraseña) en un servidor Valkey o Redis protegido por un token. OSS Para ello, incluya el parámetro --auth-token
(API:AuthToken
) en el token correcto al crear el grupo o clúster de replicación. Inclúyalo también en todos los comandos posteriores para el clúster o grupo de reproducción.
La siguiente AWS CLI operación crea un grupo de replicación con el cifrado en tránsito (TLS) activado y el AUTH token
. Reemplace el grupo de subredes This-is-a-sample-token
sng-test
por otro existente.
Parámetros clave
-
--engine
— Debe servalkey
oredis
. -
--engine-version
— Si el motor es RedisOSS, debe ser 3.2.6, 4.0.10 o posterior. -
--transit-encryption-enabled
— Necesario para la autenticación y la elegibilidad. HIPAA -
--auth-token
— Necesario para HIPAA cumplir los requisitos. Este valor debe ser el token correcto para este servidor Valkey o Redis protegido por un token. OSS -
--cache-subnet-group
— Necesario para cumplir los requisitos. HIPAA
Para Linux, macOS o Unix:
aws elasticache create-replication-group \ --replication-group-id
authtestgroup
\ --replication-group-descriptionauthtest
\ --engineredis
\ --cache-node-typecache.m4.large
\ --num-node-groups1
\ --replicas-per-node-group2
\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token
\ --cache-subnet-groupsng-test
Para Windows:
aws elasticache create-replication-group ^ --replication-group-id
authtestgroup
^ --replication-group-descriptionauthtest
^ --engineredis
^ --cache-node-typecache.m4.large
^ --num-node-groups1
^ --replicas-per-node-group2
^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token
^ --cache-subnet-groupsng-test
Modificar el AUTH token en un clúster existente
Para facilitar la actualización de la autenticación, puede modificar el AUTH token utilizado en un clúster. Puede realizar esta modificación si la versión del motor es Valkey 7.2 o superior o Redis 5.0.6 o superior. ElastiCache también debe tener activado el cifrado en tránsito.
La modificación del token de autenticación admite dos estrategias: ROTATE ySET. La ROTATE estrategia agrega un AUTH token adicional al servidor y conserva el token anterior. La SET estrategia actualiza el servidor para que solo admita un AUTH token. Realice estas llamadas de modificación con el parámetro --apply-immediately
para aplicar los cambios de inmediato.
Rotación del AUTH token
Para actualizar un OSS servidor Valkey o Redis con un nuevo AUTHtoken, llame al ModifyReplicationGroup
API con el --auth-token
parámetro como nuevo AUTH token y al --auth-token-update-strategy
con el valor. ROTATE Una vez completada la ROTATE modificación, el clúster admitirá el AUTH token anterior además del especificado en el auth-token
parámetro. Si no se configuró ningún AUTH token en el grupo de replicación antes de la rotación del AUTH token, el clúster admite el AUTH token especificado en el --auth-token
parámetro, además de admitir la conexión sin autenticación. Consulte Configurar el token AUTH para actualizar el AUTH token que sea necesario mediante una estrategia de actualizaciónSET.
nota
Si no configuró el AUTH token antes, cuando se complete la modificación, el clúster no admitirá ningún AUTH token además del especificado en el parámetro auth-token.
Si esta modificación se realiza en un servidor que ya admite dos AUTH tokens, el AUTH token más antiguo también se eliminará durante esta operación. Esto permite que un servidor admita hasta los dos AUTH tokens más recientes a la vez.
En este punto, puede continuar actualizando el cliente para que utilice el último AUTH token. Una vez actualizados los clientes, puedes usar la SET estrategia de rotación de AUTH fichas (explicada en la siguiente sección) para empezar a usar exclusivamente el nuevo token.
La siguiente AWS CLI operación modifica un grupo de replicación para rotar el AUTH token
.This-is-the-rotated-token
Para Linux, macOS o Unix:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-rotated-token
\ --auth-token-update-strategy ROTATE \ --apply-immediately
Para Windows:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-rotated-token
^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Configurar el token AUTH
Para actualizar un OSS servidor Valkey o Redis para que admita un único AUTH token obligatorio, llame a la ModifyReplicationGroup
API operación con el --auth-token
parámetro con el mismo valor que el último AUTH token y al --auth-token-update-strategy
parámetro con ese valor. SET
La SET estrategia solo se puede usar con un clúster que tenga 2 AUTH tokens o 1 AUTH token opcional si se utilizó una ROTATE estrategia anterior. Una vez completada la modificación, el servidor solo admite el AUTH token especificado en el parámetro auth-token.
La siguiente AWS CLI operación modifica un grupo de replicación en el que se establece el AUTH token. This-is-the-set-token
Para Linux, macOS o Unix:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-set-token
\ --auth-token-update-strategy SET \ --apply-immediately
Para Windows:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-set-token
^ --auth-token-update-strategy SET ^ --apply-immediately
Habilitar la autenticación en un clúster existente
Para habilitar la autenticación en un OSS servidor Valkey o Redis existente, llame a la ModifyReplicationGroup
API operación. Llame ModifyReplicationGroup
con el --auth-token
parámetro como nuevo token y --auth-token-update-strategy
con el valor. ROTATE
Una vez completada la ROTATE modificación, el clúster admite el AUTH token especificado en el --auth-token
parámetro, además de admitir la conexión sin autenticación. Una vez que se hayan actualizado todas las aplicaciones cliente para autenticarse en Valkey o Redis OSS con el AUTH token, utilice la SET estrategia para marcar el AUTH token según sea necesario. La activación de la autenticación solo se admite en los OSS servidores Valkey y Redis con el cifrado en tránsito () activado. TLS
Migración de a RBAC AUTH
Si va a autenticar a los usuarios con el control de acceso OSS basado en roles (RBAC) de Valkey o Redis, tal como se describe enControl de acceso basado en roles () RBAC, y desea migrar aAUTH, utilice los siguientes procedimientos. Puede migrar mediante la consola o. CLI
Para migrar de RBAC a AUTH usar la consola
Inicie sesión en AWS Management Console y abra la ElastiCache consola en https://console.aws.amazon.com/elasticache/
. -
En la lista de la esquina superior derecha, elija la AWS región en la que se encuentra el clúster que desea modificar.
-
En el panel de navegación, elija el motor que se ejecuta en el clúster que desea modificar.
Se mostrará una lista de los clústeres del motor elegido.
-
En la lista de clústeres, para el clúster que desea modificar, elija su nombre.
-
Para Actions (Acciones), elija Modify (Modificar).
Aparecerá la ventana Modificar.
-
Para el control de acceso, elija el acceso de usuario AUTH predeterminado de Valkey o el acceso de usuario predeterminado de Redis OSS AUTH.
-
En Token de Valkey o AUTH token de Redis, establece un OSS AUTH token nuevo.
-
Seleccione Vista previa de los cambios y seleccione Modificar en la siguiente pantalla.
Para migrar de RBAC a usar el AUTH AWS CLI
Utilice uno de los siguientes comandos para configurar un nuevo AUTH token opcional para su grupo de OSS replicación de Valkey o Redis. Tenga en cuenta que un token de autenticación opcional permitirá el acceso no autenticado al grupo de replicación hasta que el token de autenticación se marque como obligatorio, siguiendo la estrategia de actualización que se describe en el siguiente paso. SET
Para Linux, macOS o Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Para Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Tras ejecutar el comando anterior, puede actualizar sus OSS aplicaciones de Valkey o Redis para que se autentiquen en el grupo de ElastiCache replicación mediante el token opcional recién configurado. AUTH Para completar la rotación del token de autenticación, utilice la estrategia de actualización del siguiente comando que aparece a SET
continuación. Esto marcará el AUTH token opcional como obligatorio. Cuando se complete la actualización del token de autenticación, el estado del grupo de replicación aparecerá como ACTIVE
y todas las conexiones a este grupo de replicación requerirán autenticación.
Para Linux, macOS o Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Para Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
Para obtener más información, consulte Autenticación con el comando Valkey y Redis OSS AUTH.
nota
Si necesita deshabilitar el control de acceso en un ElastiCache clúster, consulteDeshabilitar el control de acceso en una caché de ElastiCache Valkey o Redis OSS.