Autentikasi dengan perintah AUTH Redis - Amazon ElastiCache untuk Redis

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Autentikasi dengan perintah AUTH Redis

catatan

Redis AUTH telah digantikan oleh. Kontrol Akses Berbasis Peran (RBAC) Semua cache nirserver harus menggunakan RBAC untuk autentikasi.

Token atau kata sandi otentikasi Redis memungkinkan Redis memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, sehingga meningkatkan keamanan data. Redis hanya AUTH tersedia untuk cluster yang dirancang sendiri.

Ikhtisar AUTH ElastiCache untuk Redis

Saat Anda menggunakan Redis AUTH dengan cluster ElastiCache for Redis Anda, ada beberapa penyempurnaan.

Secara khusus, perhatikan kendala token atau kata sandi AUTH ini saat menggunakan AUTH dengan untuk Redis: ElastiCache

  • Token, atau kata sandi, harus berisi 16–128 karakter yang dapat dicetak.

  • Karakter non-alfanumerik yang diizinkan adalah (!, &, #, $, ^, <, >, -).

  • AUTH hanya dapat diaktifkan untuk enkripsi in-transit yang diaktifkan untuk kluster ElastiCache Redis.

Untuk menyiapkan token yang kuat, sebaiknya ikuti kebijakan kata sandi yang ketat, seperti yang mewajibkan hal berikut:

  • Token atau kata sandi harus mencakup setidaknya tiga dari jenis karakter berikut:

    • Karakter huruf besar

    • Karakter huruf kecil

    • Angka

    • Karakter non-alfanumerik (!, &, #, $, ^, <, >, -)

  • Token atau kata sandi tidak boleh mengandung kata kamus atau kata kamus yang sedikit dimodifikasi.

  • Token atau kata sandi tidak boleh sama dengan atau mirip dengan token yang baru digunakan.

Menerapkan otentikasi ke cluster ElastiCache for Redis

Anda dapat mewajibkan pengguna untuk memasukkan token (kata sandi) pada server Redis yang dilindungi token. Untuk melakukannya, sertakan parameter --auth-token (API: AuthToken) dengan token yang tepat ketika Anda membuat grup replikasi atau klaster Anda. Sertakan juga ke dalamnya semua perintah berikutnya untuk grup replikasi atau klaster.

AWS CLI Operasi berikut membuat grup replikasi dengan enkripsi dalam transit (TLS) diaktifkan dan token. AUTH This-is-a-sample-token Ganti grup subnet sng-test dengan grup subnet yang ada.

Parameter Kunci
  • --engine – Harus redis.

  • --engine-version – Harus 3.2.6, 4.0.10, atau yang lebih baru.

  • --transit-encryption-enabled – Wajib untuk autentikasi dan kelayakan HIPAA.

  • --auth-token – Wajib untuk kelayakan HIPAA. Nilai ini harus berupa token yang benar untuk server Redis yang dilindungi token ini.

  • --cache-subnet-group – Wajib untuk kelayakan HIPAA.

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \ --replication-group-id authtestgroup \ --replication-group-description authtest \ --engine redis \ --cache-node-type cache.m4.large \ --num-node-groups 1 \ --replicas-per-node-group 2 \ --transit-encryption-enabled \ --auth-token This-is-a-sample-token \ --cache-subnet-group sng-test

Untuk Windows:

aws elasticache create-replication-group ^ --replication-group-id authtestgroup ^ --replication-group-description authtest ^ --engine redis ^ --cache-node-type cache.m4.large ^ --num-node-groups 1 ^ --replicas-per-node-group 2 ^ --transit-encryption-enabled ^ --auth-token This-is-a-sample-token ^ --cache-subnet-group sng-test

Memodifikasi token AUTH pada cluster Redis yang sudah ada ElastiCache

Agar lebih mudah memperbarui otentikasi Anda, Anda dapat memodifikasi AUTH token yang digunakan pada klaster ElastiCache for Redis. Anda dapat membuat modifikasi ini jika versi mesin 5.0.6 atau lebih tinggi dan jika ElastiCache untuk Redis memiliki enkripsi dalam perjalanan diaktifkan.

Mengubah token auth mendukung dua strategi: ROTATE dan SET. Strategi ROTATE menambahkan token AUTH tambahan ke server sambil mempertahankan token sebelumnya. Strategi SET memperbarui server untuk mendukung hanya satu token AUTH. Buat panggilan perubahan ini dengan parameter --apply-immediately untuk menerapkan perubahan dengan segera.

Merotasi token AUTH

Untuk memperbarui server Redis dengan token AUTH baru, panggil ModifyReplicationGroup API dengan --auth-token parameter sebagai AUTH token baru dan --auth-token-update-strategy dengan nilai ROTATE. Setelah modifikasi ROTATE selesai, cluster akan mendukung token AUTH sebelumnya selain yang ditentukan dalam auth-token parameter. Jika tidak ada token AUTH yang dikonfigurasi pada grup replikasi sebelum rotasi token AUTH, cluster mendukung token AUTH yang ditentukan dalam --auth-token parameter selain mendukung koneksi tanpa otentikasi. Lihat Mengatur token AUTH untuk memperbarui token AUTH agar diperlukan menggunakan strategi pembaruan SET.

catatan

Jika Anda tidak mengonfigurasi token AUTH sebelumnya, setelah perubahan selesai, klaster akan mendukung token no AUTH selain token yang ditentukan dalam parameter auth-token.

Jika modifikasi ini dilakukan pada server yang sudah mendukung dua token AUTH, token AUTH tertua juga akan dihapus selama operasi ini. Ini memungkinkan server untuk mendukung hingga dua token AUTH terbaru pada waktu tertentu.

Pada titik ini, Anda dapat melanjutkan dengan memperbarui klien untuk menggunakan token AUTH terbaru. Setelah klien diperbarui, Anda dapat menggunakan strategi SET untuk rotasi token AUTH (dijelaskan pada bagian berikut) untuk secara khusus mulai menggunakan token baru.

AWS CLI Operasi berikut memodifikasi grup replikasi untuk memutar token. AUTH This-is-the-rotated-token

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \ --replication-group-id authtestgroup \ --auth-token This-is-the-rotated-token \ --auth-token-update-strategy ROTATE \ --apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^ --replication-group-id authtestgroup ^ --auth-token This-is-the-rotated-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately

Mengatur token AUTH

Untuk memperbarui server Redis untuk mendukung satu AUTH token yang diperlukan, panggil operasi ModifyReplicationGroup API dengan --auth-token parameter dengan nilai yang sama dengan token AUTH terakhir dan --auth-token-update-strategy parameter dengan nilai. SET Strategi SET hanya dapat digunakan dengan cluster yang memiliki 2 token AUTH atau 1 token AUTH opsional dari menggunakan strategi ROTATE sebelumnya. Setelah modifikasi selesai, server Redis hanya mendukung token AUTH yang ditentukan dalam parameter auth-token.

AWS CLI Operasi berikut memodifikasi grup replikasi untuk mengatur token AUTH. This-is-the-set-token

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \ --replication-group-id authtestgroup \ --auth-token This-is-the-set-token \ --auth-token-update-strategy SET \ --apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^ --replication-group-id authtestgroup ^ --auth-token This-is-the-set-token ^ --auth-token-update-strategy SET ^ --apply-immediately

Mengaktifkan otentikasi pada cluster Redis yang sudah ada ElastiCache

Untuk mengaktifkan autentikasi pada server Redis yang ada, panggil operasi API ModifyReplicationGroup. Panggil ModifyReplicationGroup dengan parameter --auth-token sebagai token baru dan --auth-token-update-strategy dengan nilai ROTATE.

Setelah modifikasi ROTATE selesai, cluster mendukung AUTH token yang ditentukan dalam --auth-token parameter selain mendukung koneksi tanpa otentikasi. Setelah semua aplikasi klien diperbarui untuk mengautentikasi ke Redis dengan token AUTH, gunakan strategi SET untuk menandai token AUTH sesuai kebutuhan. Mengaktifkan autentikasi hanya didukung di server Redis dengan enkripsi bergerak (TLS) diaktifkan.

Bermigrasi dari RBAC ke AUTH Redis

Jika Anda mengautentikasi pengguna dengan Redis Role-Based Access Control (RBAC) seperti yang dijelaskan dalamKontrol Akses Berbasis Peran (RBAC), dan Anda ingin bermigrasi ke Redis AUTH, gunakan prosedur berikut. Anda dapat bermigrasi menggunakan konsol atau CLI.

Untuk bermigrasi dari RBAC ke AUTH Redis menggunakan konsol
  1. Masuk ke AWS Management Console dan buka ElastiCache konsol di https://console.aws.amazon.com/elasticache/.

  2. Dari daftar di sudut kanan atas, pilih AWS Wilayah tempat cluster yang ingin Anda modifikasi berada.

  3. Di panel navigasi, pilih mesin yang berjalan pada klaster yang ingin diubah.

    Daftar klaster mesin yang dipilih akan muncul.

  4. Dalam daftar klaster tersebut, pilih nama klaster yang ingin Anda ubah.

  5. Untuk Tindakan, pilih Ubah.

    Jendela Ubah muncul.

  6. Untuk Kontrol akses, pilih Akses pengguna default AUTH Redis.

  7. Di bagian Token AUTH Redis, tetapkan token baru.

  8. Pilih Pratinjau perubahan, lalu di layar berikutnya, pilih Ubah.

Untuk bermigrasi dari RBAC ke Redis AUTH menggunakan AWS CLI

Gunakan salah satu perintah berikut untuk mengonfigurasi AUTH token opsional baru untuk grup replikasi Redis Anda. Perhatikan bahwa token Auth opsional akan memungkinkan akses tidak diautentikasi ke grup replikasi hingga token Auth ditandai sesuai kebutuhan, menggunakan strategi SET pembaruan pada langkah berikut.

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately

Setelah menjalankan perintah di atas, Anda dapat memperbarui aplikasi Redis Anda untuk mengautentikasi ke grup ElastiCache replikasi menggunakan token AUTH opsional yang baru dikonfigurasi. Untuk menyelesaikan rotasi token Auth, gunakan strategi pembaruan pada perintah berikutnya SET di bawah ini. Ini akan menandai token AUTH opsional seperti yang diperlukan. Ketika pembaruan token Auth selesai, status grup replikasi akan ditampilkan sebagai ACTIVE dan semua koneksi Redis ke grup replikasi ini akan memerlukan otentikasi.

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately

Untuk informasi selengkapnya, lihat Autentikasi dengan perintah AUTH Redis.

catatan

Jika Anda perlu menonaktifkan kontrol akses pada ElastiCache Cluster, lihatMenonaktifkan kontrol akses pada cache Redis ElastiCache.