Información general de AUTH Aplicación de la autenticación Modificación de AUTH en un servidor existente Migración de RBAC a Redis OSS AUTH

Autenticación con el comando REDIS OSS AUTH

nota

Redis OSS AUTH ha sido reemplazado por. Control de acceso basado en roles (RBAC) Todas las cachés sin servidor deben usar RBAC para la autenticación.

Los identificadores o contraseñas de autenticación de Redis OSS permiten a Redis OSS solicitar una contraseña antes de permitir que los clientes ejecuten comandos, lo que mejora la seguridad de los datos. Redis OSS solo AUTH está disponible para clústeres de diseño propio.

Temas

Descripción general de AUTH en ElastiCache (Redis OSS)
Aplicar la autenticación a un clúster ElastiCache (Redis OSS)
Modificar el token AUTH en un clúster existente ElastiCache (Redis OSS)
Migración de RBAC a Redis OSS AUTH

Descripción general de AUTH en ElastiCache (Redis OSS)

Al utilizar el OSS de Redis AUTH con su clúster ElastiCache (Redis OSS), hay algunas mejoras.

En concreto, tenga en cuenta estas restricciones de contraseña o token de AUTH cuando utilice el AUTH con ElastiCache (Redis OSS):

Los tokens o contraseñas, deben tener entre 16 y 128 caracteres imprimibles.
Los caracteres no alfanuméricos están restringidos a (!, &, #, $, ^, <, >, -).
La autenticación AUTH solo se puede habilitar para clústeres con cifrado en tránsito ElastiCache (Redis OSS).

Para configurar un token seguro, recomendamos que siga una política de contraseña estricta, como las que exigen las siguientes condiciones:

Los tokens o contraseñas deben incluir al menos tres de los siguientes tipos de caracteres:
- Caracteres en mayúsculas
- Caracteres en minúsculas
- Dígitos
- Caracteres no alfanuméricos (!, &, #, $, ^, <, >, -)
Los identificadores o contraseñas no deben contener una palabra del diccionario ni una palabra del diccionario ligeramente modificada.
Los identificadores o contraseñas no deben ser iguales o similares a los identificadores usados recientemente.

Aplicar la autenticación a un clúster ElastiCache (Redis OSS)

Puede exigir a los usuarios que introduzcan un token (contraseña) en un servidor Redis OSS protegido por un token. Para ello, incluya el parámetro --auth-token (API: AuthToken) con el token correcto al crear el clúster o grupo de reproducción. Inclúyalo también en todos los comandos posteriores para el clúster o grupo de reproducción.

La siguiente AWS CLI operación crea un grupo de replicación con el cifrado en tránsito (TLS) habilitado y el token. AUTH This-is-a-sample-token Reemplace el grupo de subredes sng-test por otro existente.

Parámetros clave

--engine: debe ser redis.
--engine-version: debe ser 3.2.6, 4.0.10 o posterior.
--transit-encryption-enabled: obligatorio para la autenticación y elegibilidad para la HIPAA.
--auth-token: obligatorio para la conformidad con la HIPAA. Este valor debe ser el token correcto para este servidor Redis OSS protegido por un token.
--cache-subnet-group: obligatorio para la conformidad con la HIPAA.

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Para Windows:


aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modificar el token AUTH en un clúster existente ElastiCache (Redis OSS)

Para facilitar la actualización de la autenticación, puede modificar el AUTH token utilizado en un clúster ElastiCache (Redis OSS). Puede realizar esta modificación si la versión del motor es 5.0.6 o superior y si ElastiCache (Redis OSS) tiene activado el cifrado en tránsito.

La modificación del token de AUTH admite dos estrategias: ROTATE y SET. La estrategia ROTATE añade un token AUTH adicional al servidor y conserva el token anterior. La estrategia SET actualiza el servidor para que solo admita un token AUTH. Realice estas llamadas de modificación con el parámetro --apply-immediately para aplicar los cambios de inmediato.

Rotación del token AUTH

Para actualizar un servidor OSS de Redis con un nuevo token AUTH, llame a la ModifyReplicationGroup API con el --auth-token parámetro como nuevo AUTH token y el --auth-token-update-strategy valor ROTATE. Una vez completada la modificación ROTATE, el clúster admitirá el token AUTH anterior además del especificado en el parámetro. auth-token Si no se configuró ningún token AUTH en el grupo de replicación antes de la rotación del token AUTH, el clúster admite el token AUTH especificado en el --auth-token parámetro, además de admitir la conexión sin autenticación. Consulte Configuración del token AUTH para actualizar el token AUTH que sea necesario mediante la estrategia de actualización SET.

nota

Si no configura el token AUTH antes, una vez completada la modificación, el clúster no admitirá ningún token AUTH además del especificado en el parámetro auth-token.

Si esta modificación se realiza en un servidor que ya admite dos tokens AUTH, el token AUTH más antiguo también se eliminará durante esta operación. Esto permite que un servidor admita hasta los dos tokens AUTH más recientes a la vez.

En este punto, puede continuar actualizando el cliente para que utilice el último token AUTH. Una vez que se actualizan los clientes, puede utilizar la estrategia SET para la rotación del token AUTH (que se explica en la sección siguiente) a fin de comenzar a utilizar en exclusiva el token nuevo.

La siguiente AWS CLI operación modifica un grupo de replicación para rotar el AUTH token. This-is-the-rotated-token

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Configuración del token AUTH

Para actualizar un servidor OSS de Redis para que admita un único AUTH token obligatorio, llame a la operación de ModifyReplicationGroup API con el --auth-token parámetro con el mismo valor que el último token de AUTH y el --auth-token-update-strategy parámetro con ese valor. SET La estrategia SET solo se puede usar con un clúster que tenga 2 tokens AUTH o 1 token AUTH opcional si antes se utilizaba una estrategia ROTATE. Una vez completada la modificación, el servidor OSS de Redis solo admite el token AUTH especificado en el parámetro auth-token.

La siguiente AWS CLI operación modifica un grupo de replicación en el que se establece el token AUTH. This-is-the-set-token

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Habilitar la autenticación en un clúster existente ElastiCache (Redis OSS)

Para habilitar la autenticación en un servidor OSS de Redis existente, llame a la operación de ModifyReplicationGroup API. Llame a ModifyReplicationGroup con el parámetro --auth-token como el nuevo token y --auth-token-update-strategy con el valor ROTATE.

Una vez completada la modificación ROTATE, el clúster admite el AUTH token especificado en el --auth-token parámetro, además de admitir la conexión sin autenticación. Una vez que todas las aplicaciones cliente se hayan actualizado para autenticarse en Redis OSS con el token AUTH, utilice la estrategia SET para marcar el token AUTH como necesario. La activación de la autenticación solo se admite en los servidores OSS de Redis con el cifrado en tránsito (TLS) habilitado.

Migración de RBAC a Redis OSS AUTH

Si va a autenticar usuarios con el control de acceso basado en roles (RBAC) de Redis OSS, tal como se describe enControl de acceso basado en roles (RBAC), y desea migrar a Redis OSS AUTH, utilice los siguientes procedimientos. Puede migrar mediante la consola o la CLI.

Para migrar de RBAC a Redis OSS AUTH mediante la consola

Inicie sesión en la consola AWS Management Console y ábrala en https://console.aws.amazon.com/elasticache/. ElastiCache
En la lista de la esquina superior derecha, elija la AWS región en la que se encuentra el clúster que desea modificar.
En el panel de navegación, elija el motor que se ejecuta en el clúster que desea modificar.

Se mostrará una lista de los clústeres del motor elegido.
En la lista de clústeres, para el clúster que desea modificar, elija su nombre.
Para Actions (Acciones), elija Modify (Modificar).

Aparecerá la ventana Modificar.
Para el control de acceso, elija el acceso de usuario predeterminado de Redis OSS AUTH.
En el token AUTH OSS de Redis, defina un nuevo token.
Seleccione Vista previa de los cambios y seleccione Modificar en la siguiente pantalla.

Para migrar de RBAC a Redis OSS AUTH mediante el AWS CLI

Utilice uno de los siguientes comandos para configurar un nuevo AUTH token opcional para su grupo de replicación de Redis OSS. Tenga en cuenta que un token de autenticación opcional permitirá el acceso no autenticado al grupo de replicación hasta que el token de autenticación se marque como obligatorio, siguiendo la estrategia SET de actualización que se describe en el siguiente paso.

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Tras ejecutar el comando anterior, puede actualizar sus aplicaciones de Redis OSS para que se autentiquen en el grupo de ElastiCache replicación mediante el token de AUTH opcional recién configurado. Para completar la rotación del token de autenticación, utilice la estrategia de actualización del siguiente comando que aparece a SET continuación. Esto marcará el token AUTH opcional como obligatorio. Cuando se complete la actualización del token de autenticación, se mostrará el estado del grupo de replicación ACTIVE y todas las conexiones de Redis OSS a este grupo de replicación requerirán autenticación.

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Para obtener más información, consulte Autenticación con el comando REDIS OSS AUTH.

nota

Si necesita deshabilitar el control de acceso en un ElastiCache clúster, consulte. Deshabilitar el control de acceso en una caché ElastiCache OSS de Redis

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación con IAM

Deshabilitar el control de acceso en una caché ElastiCache OSS de Redis