Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Autenticazione con il comando Valkey e Redis OSS AUTH

PDF
RSS
Modalità Focus
Autenticazione con il comando Valkey e Redis OSS AUTH - Amazon ElastiCache
Panoramica di AUTHApplicazione dell'autenticazioneModifica di AUTH su un server esistenteMigrazione da RBAC a AUTH

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Nota

AUTHÈ stato sostituito da. Controllo accessi basato sui ruoli (RBAC) Tutte le cache serverless devono utilizzare il controllo degli accessi basato su ruolo (RBAC) per l'autenticazione.

I token o le password di autenticazione Valkey e Redis OSS consentono a Valkey e Redis OSS di richiedere una password prima di consentire ai client di eseguire comandi, migliorando così la sicurezza dei dati. AUTHÈ disponibile solo per i cluster progettati autonomamente.

Panoramica di AUTH in Valkey e Redis ElastiCache OSS

Quando si utilizza il AUTH con il cluster ElastiCache for Valkey e Redis OSS, ci sono alcuni perfezionamenti.

In particolare, fai attenzione a questi vincoli relativi al token AUTH o alla password quando usi AUTH:

  • I token o password devono essere composti da 16–128 caratteri stampabili.

  • I caratteri non alfanumerici sono limitati a (!, &, #, $, ^, <, >, -).

  • L'AUTH può essere abilitato solo per i cluster Valkey o Redis OSS abilitati alla crittografia in transito.

Per configurare un token robusto, si consiglia di seguire una policy per password rigida che richieda, ad esempio, quanto segue:

  • I token o le password devono includere almeno tre dei seguenti tipi di caratteri:

    • Caratteri maiuscoli

    • Caratteri minuscoli

    • Numeri

    • Caratteri non alfanumerici (!, &, #, $, ^, <, >, -)

  • I token o le password non devono contenere una parola del dizionario o una parola del dizionario leggermente modificata.

  • I token o le password non devono essere uguali o simili a quelli di un token usato di recente.

Applicazione dell'autenticazione a un cluster ElastiCache for Valkey e Redis OSS

È possibile richiedere agli utenti di inserire un token (password) su un server Valkey o Redis OSS protetto da token. Per fare ciò, includi il parametro --auth-token (API: AuthToken) con il token corretto quando crei il gruppo di replica o il cluster. Includerlo anche in tutti i comandi successivi per il gruppo di replica o il cluster.

La seguente AWS CLI operazione crea un gruppo di replica con la crittografia in transito (TLS) abilitata e il token. AUTH This-is-a-sample-token Sostituisci il gruppo di sottoreti sng-test con uno esistente.

Parametri chiave

  • --engine— Deve essere valkey o. redis

  • --engine-version— Se il motore è Redis OSS, deve essere 3.2.6, 4.0.10 o successivo.

  • --transit-encryption-enabled : obbligatorio per l'autenticazione e la conformità HIPAA.

  • --auth-token : obbligatorio per la conformità HIPAA. Questo valore deve essere il token corretto per questo server Valkey o Redis OSS protetto da token.

  • --cache-subnet-group : obbligatorio per la conformità HIPAA.

Per Linux, macOS o Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Per Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modifica del token AUTH su un cluster esistente

Per semplificare l'aggiornamento dell'autenticazione, è possibile modificare il AUTH token utilizzato su un cluster. Puoi apportare questa modifica se la versione del motore è Valkey 7.2 o successiva o Redis 5.0.6 o successiva. ElastiCache deve inoltre avere la crittografia in transito abilitata.

La modifica del token di autorizzazione supporta due strategie: ROTATE e SET. La strategia ROTATE aggiunge un token AUTH aggiuntivo al server mantenendo il token precedente. La strategia SET aggiorna il server per supportare solo un singolo token AUTH. Effettuare queste richieste di modifica con il parametro --apply-immediately per applicare immediatamente le modifiche.

Rotazione del token AUTH

Per aggiornare un server Valkey o Redis OSS con un nuovo token AUTH, chiama l'ModifyReplicationGroupAPI con il --auth-token parametro come nuovo AUTH token e il --auth-token-update-strategy valore ROTATE. Una volta completata la modifica ROTATE, il cluster supporterà il token AUTH precedente oltre a quello specificato nel parametro. auth-token Se nessun token AUTH era configurato sul gruppo di replica prima della rotazione del token AUTH, il cluster supporta il token AUTH specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Vedi come Impostazione del token AUTH aggiornare il token AUTH da richiedere utilizzando la strategia di aggiornamento SET.

Nota

Se prima non si configura il token AUTH, una volta completata la modifica, il cluster non supporterà alcun token AUTH oltre a quello specificato nel parametro auth-token.

Se questa modifica viene eseguita su un server che supporta già due token AUTH, durante questa operazione verrà rimosso anche il token AUTH più vecchio. Ciò consente a un server di supportare fino a due token AUTH più recenti alla volta.

A questo punto, puoi procedere aggiornando il client per utilizzare il token AUTH più recente. Una volta aggiornati i client, è possibile utilizzare la strategia SET in modo che la rotazione del token AUTH (spiegata nella sezione seguente) inizi esclusivamente utilizzando il nuovo token.

La seguente AWS CLI operazione modifica un gruppo di replica per ruotare il token. AUTH This-is-the-rotated-token

Per Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Impostazione del token AUTH

Per aggiornare un server Valkey o Redis OSS in modo che supporti un singolo AUTH token richiesto, chiamate l'operazione ModifyReplicationGroup API con il --auth-token parametro con lo stesso valore dell'ultimo token AUTH e il parametro con il valore. --auth-token-update-strategy SET La strategia SET può essere utilizzata solo con un cluster con 2 token AUTH o 1 token AUTH opzionale che utilizzava in precedenza una strategia ROTATE. Una volta completata la modifica, il server supporta solo il token AUTH specificato nel parametro auth-token.

L' AWS CLI operazione seguente modifica un gruppo di replica su cui impostare il token AUTH. This-is-the-set-token

Per Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Abilitazione dell'autenticazione su un cluster esistente

Per abilitare l'autenticazione su un server Valkey o Redis OSS esistente, richiama l'operazione ModifyReplicationGroup API. Richiamare ModifyReplicationGroup con il parametro --auth-token come il nuovo token e --auth-token-update-strategy con il valore ROTATE.

Una volta completata la modifica ROTATE, il cluster supporta il AUTH token specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Una volta aggiornate tutte le applicazioni client per l'autenticazione su Valkey o Redis OSS con il token AUTH, utilizzate la strategia SET per contrassegnare il token AUTH come richiesto. L'abilitazione dell'autenticazione è supportata solo sui server Valkey e Redis OSS con crittografia in transito (TLS) abilitata.

Migrazione da RBAC a AUTH

Se state autenticando gli utenti con Valkey o Redis OSS Role-Based Access Control (RBAC) come descritto in e desiderate migrare ad AUTHControllo accessi basato sui ruoli (RBAC), utilizzate le seguenti procedure. È possibile eseguire la migrazione mediante console o CLI.

Per migrare da RBAC a AUTH utilizzando la console

  1. Accedi a AWS Management Console e apri la console all'indirizzo. ElastiCache https://console.aws.amazon.com/elasticache/

  2. Dall'elenco nell'angolo in alto a destra, scegli la AWS regione in cui si trova il cluster che desideri modificare.

  3. Nel riquadro di navigazione, scegliere il motore in esecuzione sul cluster da modificare.

    Comparirà un elenco dei cluster che eseguono il motore selezionato.

  4. Nell'elenco dei cluster, per il cluster che si desidera modificare, scegli il nome.

  5. Per Operazioni, scegli Modifica.

    Viene visualizzata la finestra Modifica.

  6. Per il controllo degli accessi, scegli l'accesso utente predefinito Valkey AUTH o l'accesso utente predefinito Redis OSS AUTH.

  7. Sotto il token Valkey AUTH o il token Redis OSS AUTH, imposta un nuovo token.

  8. Scegli Visualizza l'anteprima delle modifiche e quindi, nella schermata successiva, seleziona Modifica.

Per migrare da RBAC a AUTH utilizzando il AWS CLI

Utilizzate uno dei seguenti comandi per configurare un nuovo AUTH token opzionale per il gruppo di replica Valkey o Redis OSS. Tieni presente che un token di autenticazione opzionale consentirà l'accesso non autenticato al gruppo di replica fino a quando il token di autenticazione non sarà contrassegnato come richiesto, utilizzando la strategia di aggiornamento nella fase successiva. SET

Per Linux, macOS o Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Dopo aver eseguito il comando precedente, è possibile aggiornare le applicazioni Valkey o Redis OSS per l'autenticazione al gruppo di ElastiCache replica utilizzando il token AUTH opzionale appena configurato. Per completare la rotazione del token di autenticazione, utilizzate la strategia SET di aggiornamento nel comando successivo di seguito. Questo contrassegnerà il token AUTH opzionale come richiesto. Al termine dell'aggiornamento del token di autenticazione, lo stato del gruppo di replica verrà visualizzato come ACTIVE e tutte le connessioni a questo gruppo di replica richiederanno l'autenticazione.

Per Linux, macOS o Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Per Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Per ulteriori informazioni, consulta Autenticazione con il comando Valkey e Redis OSS AUTH.

Nota

Se è necessario disabilitare il controllo degli accessi su un ElastiCache cluster, vedere. Disabilitazione del controllo degli accessi su una cache ElastiCache Valkey o Redis OSS

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.