Autenticazione con i comandi Valkey e Redis OSS AUTH - Amazon ElastiCache
Panoramica di AUTHApplicazione dell'autenticazioneModifica AUTH su un server esistenteMigrazione da a RBAC AUTH

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione con i comandi Valkey e Redis OSS AUTH

Nota

AUTHÈ stato sostituito da. Controllo degli accessi basato sui ruoli () RBAC Tutte le cache serverless devono essere utilizzate per l'autenticazione. RBAC

I token o le password di OSS autenticazione Valkey e Redis consentono a Valkey e Redis di richiedere una password prima di consentire OSS ai client di eseguire comandi, migliorando così la sicurezza dei dati. AUTHÈ disponibile solo per i cluster progettati autonomamente.

Panoramica di AUTH in ElastiCache with Valkey e Redis OSS

Quando lo usi AUTH con il tuo ElastiCache OSS cluster Valkey o Redis, ci sono alcuni perfezionamenti.

In particolare, fai attenzione a questi vincoli relativi a AUTH token o password quando usi: AUTH

  • I token o password devono essere composti da 16–128 caratteri stampabili.

  • I caratteri non alfanumerici sono limitati a (!, &, #, $, ^, <, >, -).

  • AUTHpuò essere abilitato solo per la crittografia in transito abilitata ElastiCache con cluster Valkey o Redis. OSS

Per configurare un token robusto, si consiglia di seguire una policy per password rigida che richieda, ad esempio, quanto segue:

  • I token o le password devono includere almeno tre dei seguenti tipi di caratteri:

    • Caratteri maiuscoli

    • Caratteri minuscoli

    • Numeri

    • Caratteri non alfanumerici (!, &, #, $, ^, <, >, -)

  • I token o le password non devono contenere una parola del dizionario o una parola del dizionario leggermente modificata.

  • I token o le password non devono essere uguali o simili a quelli di un token usato di recente.

Applicazione dell'autenticazione a un cluster ElastiCache con Valkey o Redis OSS

È possibile richiedere agli utenti di inserire un token (password) su un server Valkey o Redis protetto da token. OSS A tale scopo, includi il parametro --auth-token (API:AuthToken) con il token corretto quando crei il gruppo o il cluster di replica. Includerlo anche in tutti i comandi successivi per il gruppo di replica o il cluster.

La seguente AWS CLI operazione crea un gruppo di replica con la crittografia in transit (TLS) abilitata e il AUTH token. This-is-a-sample-token Sostituisci il gruppo di sottoreti sng-test con uno esistente.

Parametri chiave

  • --engine— Deve essere valkey oredis.

  • --engine-version— Se il motore è RedisOSS, deve essere 3.2.6, 4.0.10 o successivo.

  • --transit-encryption-enabled— Richiesto per l'autenticazione e l'idoneità. HIPAA

  • --auth-token— Richiesto per l'HIPAAidoneità. Questo valore deve essere il token corretto per questo server Valkey o Redis protetto da token. OSS

  • --cache-subnet-group— Richiesto per l'idoneità. HIPAA

Per Linux, macOS o Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Per Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modifica del AUTH token su un cluster esistente

Per semplificare l'aggiornamento dell'autenticazione, è possibile modificare il AUTH token utilizzato su un cluster. Puoi apportare questa modifica se la versione del motore è Valkey 7.2 o successiva o Redis 5.0.6 o successiva. ElastiCache deve inoltre avere la crittografia in transito abilitata.

La modifica del token di autenticazione supporta due strategie: ROTATE e. SET La ROTATE strategia aggiunge un AUTH token aggiuntivo al server mantenendo il token precedente. La SET strategia aggiorna il server per supportare un solo AUTH token. Effettuare queste richieste di modifica con il parametro --apply-immediately per applicare immediatamente le modifiche.

Rotazione del token AUTH

Per aggiornare un OSS server Valkey o Redis con un nuovo AUTHtoken, chiama il --auth-token parametro ModifyReplicationGroup API with the come nuovo AUTH token e il --auth-token-update-strategy con il valore. ROTATE Una volta completata la ROTATE modifica, il cluster supporterà il AUTH token precedente oltre a quello specificato nel auth-token parametro. Se nessun AUTH token era configurato sul gruppo di replica prima della rotazione del AUTH token, il cluster supporta il AUTH token specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Vedi Impostazione del token AUTH per aggiornare il AUTH token da richiedere utilizzando la strategia SET di aggiornamento.

Nota

Se non configuri il AUTH token prima, una volta completata la modifica, il cluster non supporterà alcun AUTH token oltre a quello specificato nel parametro auth-token.

Se questa modifica viene eseguita su un server che supporta già due AUTH token, durante questa operazione verrà rimosso anche il AUTH token più vecchio. Ciò consente a un server di supportare fino a due AUTH token più recenti contemporaneamente.

A questo punto, puoi procedere aggiornando il client per utilizzare il AUTH token più recente. Dopo aver aggiornato i client, puoi utilizzare la SET strategia di rotazione dei AUTH token (spiegata nella sezione seguente) per iniziare a utilizzare esclusivamente il nuovo token.

La seguente AWS CLI operazione modifica un gruppo di replica per ruotare il token. AUTH This-is-the-rotated-token

Per Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Impostazione del token AUTH

Per aggiornare un OSS server Valkey o Redis in modo che supporti un singolo AUTH token richiesto, chiamate l'ModifyReplicationGroupAPIoperazione con il --auth-token parametro con lo stesso valore dell'ultimo AUTH token e il --auth-token-update-strategy parametro con il valore. SET La SET strategia può essere utilizzata solo con un cluster con 2 AUTH token o 1 AUTH token opzionale utilizzato in ROTATE precedenza. Una volta completata la modifica, il server supporta solo il AUTH token specificato nel parametro auth-token.

L' AWS CLI operazione seguente modifica un gruppo di replica su cui impostare il token. AUTH This-is-the-set-token

Per Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Abilitazione dell'autenticazione su un cluster esistente

Per abilitare l'autenticazione su un OSS server Valkey o Redis esistente, richiama l'ModifyReplicationGroupAPIoperazione. Chiama ModifyReplicationGroup con il --auth-token parametro come nuovo token e il --auth-token-update-strategy con il valore. ROTATE

Una volta completata la ROTATE modifica, il cluster supporta il AUTH token specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Una volta aggiornate tutte le applicazioni client per l'autenticazione su Valkey o Redis OSS con il AUTH token, utilizzate la SET strategia per contrassegnare il AUTH token come richiesto. L'abilitazione dell'autenticazione è supportata solo sui OSS server Valkey e Redis con crittografia in transit () abilitata. TLS

Migrazione da a RBAC AUTH

Se state autenticando gli utenti con Valkey o Redis OSS Role-Based Access Control (RBAC) come descritto in e desiderate migrare aControllo degli accessi basato sui ruoli () RBAC, utilizzate le seguenti procedure. AUTH È possibile migrare utilizzando la console o. CLI

Per migrare dalla console RBAC all'AUTHutilizzo della console

  1. Accedi a AWS Management Console e apri la ElastiCache console all'indirizzo https://console.aws.amazon.com/elasticache/.

  2. Dall'elenco nell'angolo in alto a destra, scegli la AWS regione in cui si trova il cluster che desideri modificare.

  3. Nel riquadro di navigazione, scegliere il motore in esecuzione sul cluster da modificare.

    Comparirà un elenco dei cluster che eseguono il motore selezionato.

  4. Nell'elenco dei cluster, per il cluster che si desidera modificare, scegli il nome.

  5. Per Operazioni, scegli Modifica.

    Viene visualizzata la finestra Modifica.

  6. Per il controllo degli accessi, scegli l'accesso utente AUTH predefinito Valkey o l'accesso utente predefinito Redis OSS AUTH.

  7. In token Valkey o AUTH token Redis, imposta un nuovo OSS AUTH token.

  8. Scegli Visualizza l'anteprima delle modifiche e quindi, nella schermata successiva, seleziona Modifica.

Per migrare da RBAC a utilizzare il AUTH AWS CLI

Utilizzate uno dei seguenti comandi per configurare un nuovo AUTH token opzionale per il vostro gruppo di replica Valkey o RedisOSS. Tieni presente che un token di autenticazione opzionale consentirà l'accesso non autenticato al gruppo di replica fino a quando il token di autenticazione non sarà contrassegnato come richiesto, utilizzando la strategia di aggiornamento nella fase successiva. SET

Per Linux, macOS o Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Dopo aver eseguito il comando precedente, è possibile aggiornare le OSS applicazioni Valkey o Redis per l'autenticazione al gruppo di ElastiCache replica utilizzando il token opzionale appena configurato. AUTH Per completare la rotazione del token di autenticazione, utilizza la strategia di aggiornamento SET nel comando successivo di seguito. Questo contrassegnerà il AUTH token opzionale come richiesto. Al termine dell'aggiornamento del token di autenticazione, lo stato del gruppo di replica verrà visualizzato come ACTIVE e tutte le connessioni a questo gruppo di replica richiederanno l'autenticazione.

Per Linux, macOS o Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Per ulteriori informazioni, consulta Autenticazione con i comandi Valkey e Redis OSS AUTH.

Nota

Se è necessario disabilitare il controllo degli accessi su un ElastiCache cluster, vedere. Disabilitazione del controllo degli accessi su una cache ElastiCache Valkey o Redis OSS