翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Valkey および Redis OSS AUTH コマンドによる認証
注記
AUTH は に置き換えられましたロールベースのアクセスコントロール (RBAC)。すべてのサーバーレスキャッシュは、認証RBACに を使用する必要があります。
Valkey と Redis のOSS認証トークンまたはパスワードにより、Valkey と Redis はクライアントOSSにコマンドの実行を許可する前にパスワードを要求できるため、データセキュリティが向上します。AUTH は、独自設計のクラスターでのみ使用できます。
トピック
Valkey と Redis ElastiCache を使用した AUTH の の概要 OSS
Valkey または Redis OSSクラスターAUTHで ElastiCache で を使用する場合、いくつかの改良点があります。
特に、 を使用する場合は、以下のAUTHトークンまたはパスワードの制約に注意してくださいAUTH。
-
トークン、またはパスワードは、印刷可能な 16~128 文字である必要があります。
-
英数字以外の文字は、(!、&、#、$、^、<、>、-) に制限されています。
-
AUTH は、Valkey または Redis OSSクラスター ElastiCache で有効になっている転送中の暗号化に対してのみ有効にできます。
強力なトークンを設定するには、以下の要件を満たすなど、厳格なパスワードポリシーに従うことをお勧めします。
-
トークンまたはパスワードには、少なくとも次の 3 つの文字タイプを含める必要があります。
-
英大文字
-
英小文字
-
数字
-
アルファベット以外の文字 (
!
、&
、#
、$
、^
、<
、>
、-
)
-
-
トークンまたはパスワードには、ディクショナリ単語またはわずかに変更されたディクショナリ単語を含めることはできません。
-
トークンまたはパスワードは、最近使用したトークンと同じまたは類似するものであってはなりません。
Valkey または Redis OSSクラスター ElastiCache を使用した への認証の適用
トークンで保護された Valkey または Redis OSSサーバーにトークン (パスワード) を入力するようにユーザーに要求できます。これを行うには、レプリケーショングループまたはクラスターを作成するときに、正しいトークンに パラメータ --auth-token
(API: AuthToken
) を含めます。また、レプリケーショングループまたはクラスターに対する後続のすべてのコマンドにもそのパラメータを含めます。
次の AWS CLI オペレーションでは、転送中の暗号化 (TLS) とAUTHトークン を有効にしたレプリケーショングループを作成します
。サブネット グループ This-is-a-sample-token
sng-test
を、実存のサブネットグループに置き換えます。
キーのパラメータ
-
--engine
–valkey
または である必要がありますredis
。 -
--engine-version
— エンジンが Redis の場合OSS、 は 3.2.6、4.0.10 以降である必要があります。 -
--transit-encryption-enabled
– 認証とHIPAA適格性に必要です。 -
--auth-token
– HIPAA資格を得るために必要です。この値は、このトークンで保護された Valkey または Redis OSSサーバーの正しいトークンである必要があります。 -
--cache-subnet-group
– HIPAA資格を得るために必要です。
Linux、macOS、Unix の場合:
aws elasticache create-replication-group \ --replication-group-id
authtestgroup
\ --replication-group-descriptionauthtest
\ --engineredis
\ --cache-node-typecache.m4.large
\ --num-node-groups1
\ --replicas-per-node-group2
\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token
\ --cache-subnet-groupsng-test
Windows の場合:
aws elasticache create-replication-group ^ --replication-group-id
authtestgroup
^ --replication-group-descriptionauthtest
^ --engineredis
^ --cache-node-typecache.m4.large
^ --num-node-groups1
^ --replicas-per-node-group2
^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token
^ --cache-subnet-groupsng-test
既存のクラスターのAUTHトークンの変更
認証の更新を容易にするために、クラスターで使用されるAUTHトークンを変更できます。エンジンバージョンが Valkey 7.2 以降または Redis 5.0.6 以降であれば、この変更を行うことができます。また、転送中の暗号化が有効になってい ElastiCache る必要があります。
認証トークンを変更すると、 ROTATEと の 2 つの戦略がサポートされますSET。このROTATE戦略では、前のAUTHトークンを保持しながら、サーバーに追加トークンを追加します。このSET戦略は、単一のAUTHトークンのみをサポートするようにサーバーを更新します。変更をすぐに適用するには、これらの変更の呼び出しで --apply-immediately
パラメータを指定します。
AUTH トークンのローテーション
Valkey または Redis OSSサーバーを新しいAUTHトークン で更新するには、 を新しいAUTHトークンとして --auth-token
パラメータModifyReplicationGroup
APIで呼び出し、 を値 --auth-token-update-strategy
で呼び出しますROTATE。ROTATE 変更が完了すると、クラスターは auth-token
パラメータで指定されたトークンに加えて、前のAUTHトークンをサポートします。AUTH トークンローテーションの前にレプリケーショングループにAUTHトークンが設定されていない場合、クラスターは認証なしの接続をサポートするだけでなく、 --auth-token
パラメータで指定されたAUTHトークンもサポートします。更新戦略 を使用してトークンを必須AUTHに更新AUTH トークンの設定するには、「」を参照してくださいSET。
注記
以前にAUTHトークンを設定していない場合、変更が完了すると、クラスターは auth-token パラメータで指定されたAUTHトークンに加えてトークンをサポートしません。
この変更が既に 2 つのAUTHトークンをサポートしているサーバーで実行された場合、このオペレーション中に最も古いAUTHトークンも削除されます。これにより、サーバーは一度に最新のAUTHトークンを最大 2 つまでサポートできます。
この時点で、最新のAUTHトークンを使用するようにクライアントを更新することで続行できます。クライアントが更新されたら、AUTHトークンローテーションSET戦略 (次のセクションで説明) を使用して、新しいトークンの使用を排他的に開始できます。
次の AWS CLI オペレーションでは、AUTHトークン をローテーションするようにレプリケーショングループを変更します
。This-is-the-rotated-token
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-rotated-token
\ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-rotated-token
^ --auth-token-update-strategy ROTATE ^ --apply-immediately
AUTH トークンの設定
Valkey または Redis OSSサーバーを更新して 1 つの必須AUTHトークンをサポートするには、最後のAUTHトークンと同じ値を持つ --auth-token
パラメータで ModifyReplicationGroup
APIオペレーションを呼び出し、 値を持つ --auth-token-update-strategy
パラメータを呼び出しますSET
。SET 戦略は、以前にROTATE戦略を使用した 2 つのAUTHトークンまたは 1 つのオプションのAUTHトークンを持つクラスターでのみ使用できます。変更が完了すると、サーバーは auth-token パラメータで指定されたAUTHトークンのみをサポートします。
次の AWS CLI オペレーションでは、AUTHトークンを に設定するレプリケーショングループを変更します
。This-is-the-set-token
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-set-token
\ --auth-token-update-strategy SET \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-set-token
^ --auth-token-update-strategy SET ^ --apply-immediately
既存のクラスターでの認証の有効化
既存の Valkey または Redis OSSサーバーで認証を有効にするには、 ModifyReplicationGroup
APIオペレーションを呼び出します。--auth-token
パラメータModifyReplicationGroup
を新しいトークンとして を呼び出し、値 --auth-token-update-strategy
を持つ を呼び出しますROTATE。
ROTATE 変更が完了すると、クラスターは認証なしの接続をサポートするだけでなく、 --auth-token
パラメータで指定されたAUTHトークンもサポートします。AUTH トークンOSSを使用して Valkey または Redis に認証するようにすべてのクライアントアプリケーションが更新されたら、 SET戦略を使用してAUTHトークンを必要に応じてマークします。認証の有効化は、転送中の暗号化 (TLS) が有効になっている Valkey サーバーと Redis OSSサーバーでのみサポートされます。
から への移行 RBAC AUTH
の説明に従って Valkey または Redis OSSロールベースのアクセスコントロール (RBAC) を使用してユーザーを認証しロールベースのアクセスコントロール (RBAC)、 に移行する場合はAUTH、次の手順を使用します。コンソールまたは を使用して移行できますCLI。
コンソールAUTHを使用して RBAC から に移行するには
にサインイン AWS Management Console し、 https://console.aws.amazon.com/elasticache/
で ElastiCache コンソールを開きます。 -
右上隅のリストから、変更するクラスターがある AWS リージョンを選択します。
-
ナビゲーションペインで、変更するクラスターで実行されているエンジンを選択します。
選択したエンジンのクラスターが一覧表示されます。
-
クラスターのリストで、変更するクラスターの名前を選択します。
-
[アクション]、[変更] の順に選択します。
[変更] ウィンドウが表示されます。
-
アクセスコントロール で、Valkey のAUTHデフォルトユーザーアクセスまたは Redis のOSSAUTHデフォルトユーザーアクセス を選択します。
-
Valkey AUTHトークンまたは Redis OSSAUTHトークン で、新しいトークンを設定します。
-
[変更をプレビュー] を選択し、次の画面で [変更] を選択します。
AUTHを使用して から RBAC に移行するには AWS CLI
次のいずれかのコマンドを使用して、Valkey または Redis OSSレプリケーショングループの新しいオプションAUTHトークンを設定します。オプションの Auth トークンは、SET
次のステップの更新戦略を使用して、認証トークンが必須としてマークされるまで、レプリケーショングループへの認証されていないアクセスを許可します。
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
上記のコマンドを実行した後、新しく設定されたオプションAUTHトークンを使用して、Valkey または Redis OSSアプリケーションを更新して ElastiCache レプリケーショングループに認証できます。認証トークンローテーションを完了するには、次のコマンドSET
で更新戦略を使用します。これにより、必要に応じてオプションのAUTHトークンにマークされます。認証トークンの更新が完了すると、レプリケーショングループのステータスは として表示ACTIVE
され、このレプリケーショングループへのすべての接続には認証が必要です。
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
詳細については、「Valkey および Redis OSS AUTH コマンドによる認証」を参照してください。
注記
ElastiCache クラスターのアクセスコントロールを無効にする必要がある場合は、「」を参照してくださいValkey または Redis OSSキャッシュでの ElastiCacheアクセスコントロールの無効化。