本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Redis OSS AUTH 命令进行身份验证
注意
Redis OSS AUTH 已被取代。基于角色的访问控制(RBAC)所有无服务器缓存都必须使用 RBAC 进行身份验证。
Redis OSS 身份验证令牌或密码使 Redis OSS 能够在允许客户端运行命令之前要求输入密码,从而提高数据安全性。Redis OSS AUTH 仅适用于自行设计的集群。
主题
ElastiCache (Redis OSS)中的身份验证概述
当你将 Redis OSS AUTH 与你的 ElastiCache (Redis OSS)集群一起使用时,会有一些改进。
特别是,在 ElastiCache (Redis OSS) 中使用身份验证时,请注意以下身份验证令牌或密码限制:
-
令牌(或密码)必须是 16-128 个可打印字符。
-
非字母数字字符仅限使用 !、&、#、$、^、<、>、-。
-
只能为启用传输中加密 ElastiCache (Redis OSS) 集群启用身份验证。
要设置增强令牌,我们建议您遵循严格的密码策略,例如,要求满足以下条件:
-
令牌或密码必须至少包含以下三种字符类型:
-
大写字符
-
小写字符
-
数字
-
非字母数字字符(
!、&、#、$、^、<、>、-)
-
-
令牌或密码不得包含字典单词或稍作修改的字典单词。
-
令牌或密码不得与最近使用的令牌相同或相似。
对 ElastiCache (Redis OSS) 集群应用身份验证
您可以要求用户在受令牌保护的 Redis OSS 服务器上输入令牌(密码)。为此,在创建复制组或集群时,请在 --auth-token 参数(API:AuthToken)中包含正确的令牌。还要在复制组或集群的所有后续命令中包含该令牌。
以下 AWS CLI 操作创建启用了传输中加密 (TLS) 和AUTH令牌的复制组This-is-a-sample-tokensng-test。
关键参数
-
--engine– 必须为redis。 -
--engine-version– 必须是 3.2.6、4.0.10 或更高版本。 -
--transit-encryption-enabled– 对于身份验证和 HIPAA 资格是必需的。 -
--auth-token– 对于 HIPAA 资格是必需的。对于这个受令牌保护的 Redis OSS 服务器,此值必须是正确的标记。 -
--cache-subnet-group– 对于 HIPAA 资格是必需的。
对于 Linux、macOS 或 Unix:
aws elasticache create-replication-group \ --replication-group-idauthtestgroup\ --replication-group-descriptionauthtest\ --engineredis\ --cache-node-typecache.m4.large\ --num-node-groups1\ --replicas-per-node-group2\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token\ --cache-subnet-groupsng-test
对于 Windows:
aws elasticache create-replication-group ^ --replication-group-idauthtestgroup^ --replication-group-descriptionauthtest^ --engineredis^ --cache-node-typecache.m4.large^ --num-node-groups1^ --replicas-per-node-group2^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token^ --cache-subnet-groupsng-test
修改现有 ElastiCache (Redis OSS) 集群上的身份验证令牌
为了更轻松地更新身份验证,您可以修改在 ElastiCache (Redis OSS) 集群上使用的AUTH令牌。如果引擎版本为 5.0.6 或更高版本且 ElastiCache (Redis OSS)启用了传输中加密,则可以进行此修改。
修改 AUTH 令牌支持两种策略:ROTATE 和 SET。ROTATE 策略在保留先前令牌的同时,向服务器添加一个额外的身份验证令牌。SET 策略会更新服务器,使其仅支持单个 AUTH 令牌。请使用 --apply-immediately 参数进行这些修改调用以立即应用更改。
轮换 AUTH 令牌
要使用新的身份验证令牌更新 Redis OSS 服务器,请调用 ModifyReplicationGroup API,--auth-token参数为新AUTH令牌,值为 RO --auth-token-update-strategy TATE。ROTATE 修改完成后,除了auth-token参数中指定的身份验证令牌外,集群还将支持之前的身份验证令牌。如果在 AUTH 令牌轮换之前未在复制组上配置身份验证令牌,则集群除了支持无需身份验证即可连接外,还支持--auth-token参数中指定的身份验证令牌。设置 AUTH 令牌要使用更新策略集更新所需的身份验证令牌,请参阅。
注意
如果您之前未配置 AUTH 令牌,则修改完成后,除在 auth-token 参数中指定的一个令牌外,集群将不支持任何 AUTH 令牌。
如果在已经支持两个身份验证令牌的服务器上执行此修改,则在此操作期间,最旧的身份验证令牌也将被删除。这允许服务器在给定时间最多支持两个最新的身份验证令牌。
此时,您可以通过更新客户端以使用最新的 AUTH 令牌来继续。在更新客户端后,您可以使用 SET 策略轮换 AUTH 令牌(在下一节中说明)以开始使用唯一的新令牌。
以下 AWS CLI 操作修改复制组以轮换令AUTH牌This-is-the-rotated-token
对于 Linux、macOS 或 Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-rotated-token\ --auth-token-update-strategy ROTATE \ --apply-immediately
对于 Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-rotated-token^ --auth-token-update-strategy ROTATE ^ --apply-immediately
设置 AUTH 令牌
要更新 Redis OSS 服务器以支持单个必需AUTH令牌,请使用与最后一个 AUTH 令牌值相同的--auth-token参数和具有该值的--auth-token-update-strategy参数调用 ModifyReplicationGroup API 操作。SETSET 策略只能用于之前使用 ROTATE 策略的 2 个身份验证令牌或 1 个可选身份验证令牌的集群。修改完成后,Redis OSS 服务器仅支持 auth-token 参数中指定的身份验证令牌。
以下 AWS CLI 操作修改复制组以将 AUTH 令牌设置为。This-is-the-set-token
对于 Linux、macOS 或 Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-set-token\ --auth-token-update-strategy SET \ --apply-immediately
对于 Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-set-token^ --auth-token-update-strategy SET ^ --apply-immediately
在现有 ElastiCache (Redis OSS) 集群上启用身份验证
要在现有 Redis OSS 服务器上启用身份验证,请调用 ModifyReplicationGroup API 操作。调用 ModifyReplicationGroup,将 --auth-token 参数作为新令牌,并将 --auth-token-update-strategy 参数值设置为 ROTATE。
ROTATE 修改完成后,集群除了支持无需身份验证即可连接外,还支持--auth-token参数中指定的AUTH令牌。更新所有客户端应用程序以使用身份验证令牌向 Redis OSS 进行身份验证后,请使用 SET 策略将身份验证令牌标记为必填项。只有启用了传输中加密 (TLS) 的 Redis OSS 服务器才支持启用身份验证。
从 RBAC 迁移到 Redis OSS AUTH
如果您正在使用中所述的 Redis OSS 基于角色的访问控制 (RBAC) 对用户进行身份验证基于角色的访问控制(RBAC),并且想要迁移到 Redis OSS AUTH,请使用以下步骤。您可以使用控制台或 CLI 进行迁移。
使用控制台从 RBAC 迁移到 Redis OSS AUTH
登录 AWS Management Console 并打开 ElastiCache 控制台,网址为 https://console.aws.amazon.com/elasticache/
。 -
从右上角的列表中,选择要修改的集群所在的 AWS 区域。
-
在导航窗格中,选择在您要修改的集群上运行的引擎。
此时会显示选定引擎的集群列表。
-
在集群列表中,对于要修改的集群,选择其名称。
-
对于 Actions(操作),选择 Modify(修改)。
此时将显示修改窗口。
-
对于访问控制,请选择 Redis OSS AUTH 默认用户访问权限。
-
在 Redis OSS 身份验证令牌下,设置一个新令牌。
-
选择预览更改,然后在下一个屏幕上选择修改。
要从 RBAC 迁移到 Redis OSS AUTH,请使用 AWS CLI
使用以下命令之一为您的 Redis OSS 复制组配置新的可选AUTH令牌。请注意,在身份验证令牌被标记为必填项之前,可选的身份验证令牌将允许对复制组进行未经身份验证的访问,使用下一步SET中的更新策略。
对于 Linux、macOS 或 Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
对于 Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
执行上述命令后,您可以使用新配置的可选 AUTH 令牌更新 Redis OSS 应用程序以向 ElastiCache 复制组进行身份验证。要完成身份验证令牌轮换,请在下面的后续命令SET中使用更新策略。这将根据需要标记到可选的身份验证令牌上。身份验证令牌更新完成后,复制组的状态将显示为,ACTIVE并且与该复制组的所有 Redis OSS 连接都需要身份验证。
对于 Linux、macOS 或 Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
对于 Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
有关更多信息,请参阅 使用 Redis OSS AUTH 命令进行身份验证。
注意
如果您需要在 ElastiCache 集群上禁用访问控制,请参阅在 ElastiCache Redis OSS 缓存上禁用访问控制。
