Valkey 및 Redis OSS AUTH 명령을 사용한 인증 - Amazon ElastiCache
AUTH 개요인증 적용AUTH 기존 서버에서 수정에서 RBAC로 마이그레이션 AUTH

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Valkey 및 Redis OSS AUTH 명령을 사용한 인증

참고

AUTH 가 로 대체되었습니다역할 기반 액세스 제어(RBAC). 모든 서버리스 캐시는 인증RBAC에 를 사용해야 합니다.

Valkey 및 Redis OSS 인증 토큰 또는 암호를 사용하면 클라이언트가 명령을 실행OSS하도록 허용하기 전에 Valkey 및 Redis에 암호가 필요하므로 데이터 보안이 향상됩니다. AUTH 는 자체 설계된 클러스터에만 사용할 수 있습니다.

Valkey 및 Redis를 ElastiCache 사용한 AUTH 의 개요 OSS

를 Valkey 또는 Redis OSS 클러스터 ElastiCache 와 AUTH 함께 사용하는 경우 몇 가지 개선 사항이 있습니다.

특히 를 사용할 때 이러한 AUTH 토큰 또는 암호 제약 조건에 유의하세요AUTH.

  • 토큰 또는 암호는 16~128자 길이의 인쇄 가능한 문자여야 합니다.

  • 영숫자 외의 특수 문자는 (!, &, #, $, ^, <, >, -)로 제한됩니다.

  • AUTH 는 ElastiCache Valkey 또는 Redis OSS 클러스터에서 활성화된 전송 중 암호화에만 활성화할 수 있습니다.

강력한 토큰을 설정하려면 다음 사항을 요구하는 등 엄격한 암호 정책을 따르는 것이 좋습니다.

  • 토큰 또는 암호에는 다음 문자 유형 중 세 가지 이상이 포함되어야 합니다.

    • 대문자

    • 소문자

    • Digits

    • 영숫자 이외의 문자(!, &, #, $, ^, <, >, -)

  • 토큰 또는 암호에는 사전 단어 또는 약간 수정된 사전 단어가 포함되어서는 안 됩니다.

  • 토큰 또는 암호는 최근에 사용한 토큰과 같거나 비슷해서는 안 됩니다.

Valkey 또는 Redis OSS 클러스터 ElastiCache 를 사용하여 에 인증 적용

사용자가 토큰으로 보호된 Valkey 또는 Redis OSS 서버에 토큰(암호)을 입력하도록 요구할 수 있습니다. 이렇게 하려면 복제 그룹 또는 클러스터를 생성할 때 파라미터--auth-token(API: AuthToken)를 올바른 토큰과 함께 포함시킵니다. 또한 복제 그룹 또는 클러스터에 대한 모든 후속 명령에 이를 포함시킵니다.

다음 AWS CLI 작업은 전송 중 암호화(TLS)가 활성화되고 AUTH 토큰이 인 복제 그룹을 생성합니다This-is-a-sample-token. 서브넷 그룹 sng-test는 존재하는 서브넷 그룹으로 대체합니다.

키 파라미터

  • --enginevalkey 또는 이어야 합니다redis.

  • --engine-version – 엔진이 Redis 인 경우 는 3.2.6, 4.0.10 이상이어야 OSS합니다.

  • --transit-encryption-enabled - 인증 및 HIPAA 자격에 필요합니다.

  • --auth-token - HIPAA 자격에 필요합니다. 이 값은 토큰으로 보호된 이 Valkey 또는 Redis OSS 서버의 올바른 토큰이어야 합니다.

  • --cache-subnet-group – HIPAA 자격에 필요합니다.

Linux, macOS, Unix의 경우:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Windows의 경우:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

기존 클러스터에서 AUTH 토큰 수정

인증을 더 쉽게 업데이트할 수 있도록 클러스터에 사용되는 AUTH 토큰을 수정할 수 있습니다. 엔진 버전이 Valkey 7.2 이상 또는 Redis 5.0.6 이상인 경우 이 수정을 수행할 수 있습니다. 전송 시 암호화도 활성화되어 있어야 ElastiCache 합니다.

인증 토큰을 수정하면 ROTATE 및 두 가지 전략이 지원됩니다SET. ROTATE 전략은 이전 AUTH 토큰을 유지하면서 서버에 추가 토큰을 추가합니다. 이 SET 전략은 단일 AUTH 토큰만 지원하도록 서버를 업데이트합니다. --apply-immediately 파라미터를 통해 이러한 수정 호출을 수행하면 변경 사항이 즉시 적용됩니다.

AUTH 토큰 교체

Valkey 또는 Redis OSS 서버를 새 AUTH 토큰 로 업데이트하려면 --auth-token 파라미터가 새 AUTH 토큰인 ModifyReplicationGroupAPI와 값이 --auth-token-update-strategy 인 를 호출합니다ROTATE. ROTATE 수정이 완료되면 클러스터는 auth-token 파라미터에 지정된 토큰 외에도 이전 AUTH 토큰을 지원합니다. AUTH 토큰 교체 전에 복제 그룹에 AUTH 토큰이 구성되지 않은 경우 클러스터는 인증 없이 연결을 지원하는 것 외에도 --auth-token 파라미터에 지정된 AUTH 토큰을 지원합니다. 업데이트 전략 을 사용하여 AUTH 토큰을 필수로 업데이트AUTH 토큰 설정하려면 섹션을 참조하세요SET.

참고

이전에 AUTH 토큰을 구성하지 않은 경우 수정이 완료되면 클러스터는 인증 토큰 파라미터에 지정된 AUTH 토큰 외에 토큰을 지원하지 않습니다.

이미 두 개의 AUTH 토큰을 지원하는 서버에서 이 수정을 수행하면 이 작업 중에 가장 오래된 AUTH 토큰도 제거됩니다. 이를 통해 서버는 지정된 시간에 최대 2개의 최신 AUTH 토큰을 지원할 수 있습니다.

이때 클라이언트를 업데이트하여 최신 AUTH 토큰을 사용하도록 할 수 있습니다. 클라이언트가 업데이트된 후 AUTH 토큰 교체 SET 전략(다음 섹션에서 설명됨)을 사용하여 새 토큰만 사용할 수 있습니다.

다음 AWS CLI 작업은 복제 그룹을 수정하여 AUTH 토큰 를 교체합니다This-is-the-rotated-token.

Linux, macOS, Unix의 경우: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Windows의 경우:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

AUTH 토큰 설정

단일 필수 AUTH 토큰을 지원하도록 Valkey 또는 Redis OSS 서버를 업데이트하려면 마지막 AUTH 토큰과 동일한 값을 가진 --auth-token 파라미터로 ModifyReplicationGroup API 작업을 호출하고 값이 인 --auth-token-update-strategy 파라미터를 호출합니다SET. 이 SET 전략은 이전에 ROTATE 전략을 사용할 때AUTH부터 토큰 2개 또는 선택적 AUTH 토큰 1개가 있는 클러스터에서만 사용할 수 있습니다. 수정이 완료되면 서버는 인증 AUTH 토큰 파라미터에 지정된 토큰만 지원합니다.

다음 AWS CLI 작업은 복제 그룹을 수정하여 AUTH 토큰을 로 설정합니다This-is-the-set-token.

Linux, macOS, Unix의 경우: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Windows의 경우:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

기존 클러스터에서 인증 활성화

기존 Valkey 또는 Redis OSS 서버에서 인증을 활성화하려면 ModifyReplicationGroup API 작업을 호출합니다. --auth-token 파라미터를 새 토큰으로 ModifyReplicationGroup 호출하고 값을 --auth-token-update-strategy 로 호출합니다ROTATE.

ROTATE 수정이 완료되면 클러스터는 인증 없이 연결을 지원하는 것 외에도 --auth-token 파라미터에 지정된 AUTH 토큰을 지원합니다. AUTH 토큰을 사용하여 Valkey 또는 RedisOSS에 인증하도록 모든 클라이언트 애플리케이션이 업데이트되면 SET 전략을 사용하여 AUTH 토큰을 필요에 따라 표시합니다. 인증 활성화는 전송 중 암호화(TLS)가 활성화된 Valkey 및 Redis OSS 서버에서만 지원됩니다.

에서 RBAC로 마이그레이션 AUTH

에 설명된 대로 Valkey 또는 Redis OSS 역할 기반 액세스 제어(RBAC)로 사용자를 인증역할 기반 액세스 제어(RBAC)하고 로 마이그레이션하려는 경우 다음 절차를 AUTH사용합니다. 콘솔 또는 를 사용하여 마이그레이션할 수 있습니다CLI.

콘솔을 AUTH 사용하여 에서 RBAC 로 마이그레이션하려면

  1. 에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/elasticache/에서 ElastiCache 콘솔을 엽니다.

  2. 오른쪽 상단 모서리의 목록에서 수정하려는 클러스터가 있는 AWS 리전을 선택합니다.

  3. 탐색 창에서 수정하려는 클러스터에서 실행 중인 엔진을 선택합니다.

    선택한 엔진의 클러스터 목록이 나타납니다.

  4. 클러스터 목록에서 수정할 클러스터의 해당 이름을 선택합니다.

  5. 작업에서 수정을 선택합니다.

    수정 창이 나타납니다.

  6. 액세스 제어 에서 Valkey AUTH 기본 사용자 액세스 또는 Redis OSS AUTH 기본 사용자 액세스 를 선택합니다.

  7. Valkey AUTH 토큰 또는 Redis OSS AUTH 토큰에서 새 토큰을 설정합니다.

  8. 변경 사항 미리보기를 선택하면 나오는 다음 화면에서 수정을 선택합니다.

를 AUTH 사용하여 에서 RBAC로 마이그레이션하려면 AWS CLI

다음 명령 중 하나를 사용하여 Valkey 또는 Redis OSS 복제 그룹에 대한 새 선택적 AUTH 토큰을 구성합니다. 선택적 인증 토큰은 SET 다음 단계의 업데이트 전략을 사용하여 인증 토큰이 필요한 것으로 표시될 때까지 복제 그룹에 대한 인증되지 않은 액세스를 허용합니다.

Linux, macOS, Unix의 경우:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Windows의 경우:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

위 명령을 실행한 후 새로 구성된 선택적 AUTH 토큰을 사용하여 Valkey 또는 Redis OSS 애플리케이션을 업데이트하여 ElastiCache 복제 그룹에 인증할 수 있습니다. 인증 토큰 교체를 완료하려면 아래 후속 명령SET의 업데이트 전략을 사용합니다. 이렇게 하면 필요에 따라 선택적 AUTH 토큰에 표시됩니다. 인증 토큰 업데이트가 완료되면 복제 그룹 상태가 로 표시되고 이 복제 그룹에 대한 ACTIVE 모든 연결에 인증이 필요합니다.

Linux, macOS, Unix의 경우:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Windows의 경우:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

자세한 내용은 Valkey 및 Redis OSS AUTH 명령을 사용한 인증 단원을 참조하십시오.

참고

ElastiCache 클러스터에서 액세스 제어를 비활성화해야 하는 경우 섹션을 참조하세요Valkey 또는 Redis OSS 캐시에서 ElastiCache 액세스 제어 비활성화.