Rollenbasierte Zugriffskontrolle () RBAC - Amazon ElastiCache
Spezifizieren von Berechtigungen mithilfe einer ZugriffszeichenfolgeAuf einen ElastiCache Valkey- oder Redis-Cache anwenden RBAC OSSMigration von zu AUTH RBACMigration von nach RBAC AUTH

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenbasierte Zugriffskontrolle () RBAC

Anstatt Benutzer mit dem Valkey- und OSS AUTH Redis-Befehl zu authentifizieren, wie unter beschriebenAuthentifizierung mit den Befehlen Valkey und Redis OSS AUTH, können Sie in Valkey 7.2 und höher und ab Redis OSS 6.0 eine Funktion namens Role-Based Access Control () verwenden. RBAC RBACist auch die einzige Möglichkeit, den Zugriff auf serverlose Caches zu kontrollieren.

Im Gegensatz zu Valkey und Redis OSSAUTH, bei denen alle authentifizierten Clients vollen Cache-Zugriff haben, wenn ihr Token authentifiziert ist, RBAC können Sie den Cache-Zugriff über Benutzergruppen steuern. Diese Benutzergruppen dienen dazu, den Zugriff auf Caches zu organisieren.

Mit RBAC erstellen Sie Benutzer und weisen ihnen mithilfe einer Zugriffszeichenfolge bestimmte Berechtigungen zu, wie im Folgenden beschrieben. Sie weisen die Benutzer Benutzergruppen zu, denen eine bestimmte Rolle zugewiesen ist (Administratoren, Personalabteilung), die dann in einem oder mehreren ElastiCache Caches bereitgestellt werden. Auf diese Weise können Sie Sicherheitsgrenzen zwischen Clients einrichten, die denselben Valkey- oder OSS Redis-Cache oder dieselben Caches verwenden, und verhindern, dass Clients gegenseitig auf die Daten zugreifen.

Anmerkung

Bei der Verwendung RBAC mit Valkey-Clustern müssen Sie Benutzern und Benutzergruppen weiterhin die Engine „redis“ zuweisen.

RBACwurde entwickelt, um die Einführung von ACLin OSS Redis 6 zu unterstützen. Bei der Verwendung RBAC mit Ihrem ElastiCache Valkey- oder OSS Redis-Cache gibt es einige Einschränkungen:

  • Sie können keine Passwörter in einer Zugriffsfolge angeben. Sie legen Passwörter mit CreateUseroder ModifyUserAnrufen fest.

  • Für Benutzerrechte übergeben Sie on und off als Teil der Zugriffszeichenfolge. Wenn in der Zugriffszeichenfolge keine angegeben ist, wird dem Benutzer off zugewiesen und er hat keine Zugriffsrechte für den Cache.

  • Sie können keine verbotenen oder umbenannten Befehle verwenden. Gibt man einen verbotenen oder einen umbenannten Befehl an, wird eine Ausnahme ausgelöst. Wenn Sie Zugriffskontrolllisten (ACLs) für einen umbenannten Befehl verwenden möchten, geben Sie den ursprünglichen Namen des Befehls an, d. h. den Namen des Befehls vor der Umbenennung.

  • Sie können den reset-Befehl als Teil einer Zugriffszeichenfolge nicht benutzen. Sie geben Passwörter mit API Parametern an und ElastiCache (RedisOSS) verwaltet Passwörter. Daher können Sie reset nicht nutzen, da es alle Kennwörter für einen Benutzer entfernen würde.

  • Redis OSS 6 führt den ACLLISTBefehl ein. Dieser Befehl gibt eine Liste von Benutzern zusammen mit den ACL Regeln zurück, die für jeden Benutzer gelten. ElastiCache (RedisOSS) unterstützt den ACL LIST Befehl, bietet jedoch keine Unterstützung für Passwort-Hashes wie OSS Redis. Mit ElastiCache (RedisOSS) können Sie die Operation describe-users verwenden, um ähnliche Informationen abzurufen, einschließlich der Regeln, die in der Zugriffszeichenfolge enthalten sind. Jedoch ruft describe-user kein Benutzerkennwort ab.

    Andere schreibgeschützte Befehle, die von ElastiCache with Valkey und Redis unterstützt werden, sind, und. OSS ACLWHOAMIACLUSERSACLCAT ElastiCache with Valkey und Redis unterstützt OSS keine anderen schreibbasierten Befehle. ACL

  • Die folgenden Einschränkungen gelten:

    Ressource Maximum erlaubt
    Benutzer pro Benutzergruppe 100
    Anzahl Benutzer 1000
    Anzahl der Benutzergruppen 100

Die Verwendung RBAC mit ElastiCache (RedisOSS) wird im Folgenden ausführlicher beschrieben.

Themen

Spezifizieren von Berechtigungen mithilfe einer Zugriffszeichenfolge

Um Berechtigungen für einen ElastiCache (Redis-OSS) Cache anzugeben, erstellen Sie eine Zugriffszeichenfolge und weisen sie einem Benutzer zu, indem Sie entweder das AWS CLI oder verwenden. AWS Management Console

Zugriffszeichenfolgen werden als eine Liste von durch Leerzeichen getrennten Regeln definiert, die für den Benutzer angewendet werden. Sie definieren, welche Befehle ein Benutzer ausführen kann und welche Schlüssel ein Benutzer benutzen kann. Um einen Befehl auszuführen, muss ein Benutzer Zugriff auf den ausgeführten Befehl und alle Schlüssel haben, auf die mit dem Befehl zugegriffen wird. Regeln werden von links nach rechts kumulativ angewendet und anstelle der angegebenen Zeichenfolge kann eine einfachere Zeichenfolge verwendet werden, wenn Redundanzen in der angegebenen Zeichenfolge vorhanden sind.

Hinweise zur Syntax der ACL Regeln finden Sie unter ACL.

Im folgenden Beispiel wird durch die Zugriffszeichenfolge ein aktiver Benutzer dargestellt, der Zugriff auf alle verfügbaren Schlüssel und Befehle hat.

on ~* +@all

Die Syntax der Zugriffszeichenfolge wird wie folgt verteilt:

  • on – Der Benutzer ist ein aktiver Benutzer.

  • ~* – Zugriff auf alle verfügbaren Schlüssel ist erlaubt.

  • +@all – Zugriff auf alle verfügbaren Befehle ist erlaubt.

Die vorgenannten Einstellungen sind am wenigsten restriktiv. Sie können diese Einstellungen ändern und sie sicherer zu machen.

Das folgende Beispiel zeigt einen Benutzer, der nur Lesezugriff auf Schlüssel hat, die mit dem Schlüsselbereich "app::" beginnen

on ~app::* -@all +@read

Sie können diese Berechtigungen weiter verfeinern, indem Sie die Befehle auflisten, auf die der Benutzer zugreifen kann:

+command1— Der Zugriff des Benutzers auf Befehle ist beschränkt auf Befehl1.

+@category – Der Zugriff des Benutzers auf Befehle ist auf eine Kategorie von Befehlen beschränkt.

Informationen zum Zuweisen einer Zugriffszeichenfolge zu einem Benutzer finden Sie unter Benutzer und Benutzergruppen mit der Konsole erstellen und CLI.

Wenn Sie einen vorhandenen Workload zu migrieren ElastiCache, können Sie die Zugriffszeichenfolge durch einen Aufruf abrufenACL LIST, wobei der Benutzer und alle Kennwort-Hashes ausgenommen sind.

Für Redis OSS Version 6.2 und höher wird auch die folgende Syntax für die Zugriffszeichenfolge unterstützt:

  • &* – Zugriff auf alle verfügbaren Kanäle ist erlaubt.

Für Redis OSS Version 7.0 und höher wird auch die folgende Syntax für Zugriffszeichenfolgen unterstützt:

  • | – kann zum Blockieren von Unterbefehlen verwendet werden (z. B. „-config|set“).

  • %R~<pattern> – fügt das angegebene Leseschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, aus Schlüsseln zu lesen, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter Wichtigen Berechtigungen.

  • %W~<pattern> – fügt das angegebene Schreibschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, in Schlüssel zu schreiben, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter ACLSchlüsselberechtigungen.

  • %RW~<pattern> – Alia für ~<pattern>.

  • (<rule list>) – erstellt einen neuen Selektor, mit dem die Regeln verglichen werden sollen. Selektoren werden nach den Benutzerberechtigungen und in der Reihenfolge bewertet, in der sie definiert sind. Wenn ein Befehl entweder den Benutzerberechtigungen oder einem beliebigen Selektor entspricht, ist er zulässig. Weitere Informationen finden Sie unter ACLSelektoren.

  • clearselectors – löscht alle an den Benutzer angehängten Selektoren.

ElastiCache Mit Valkey oder Redis auf einen Cache beantragen RBAC OSS

Für die Verwendung ElastiCache mit Valkey oder Redis OSS RBAC gehen Sie wie folgt vor:

  1. Erstellung eines oder mehrerer Benutzer.

  2. Erstellen Sie eine Benutzergruppe und fügen Sie der Gruppe Benutzer hinzu.

  3. Weisen Sie die Benutzergruppe einen Cache zu, bei dem die Verschlüsselung während der Übertragung aktiviert ist.

Diese Schritte werden im Folgenden detailliert beschrieben.

Benutzer und Benutzergruppen mit der Konsole erstellen und CLI

Die Benutzerinformationen für RBAC Benutzer sind eine Benutzer-ID, ein Benutzername und optional ein Passwort und eine Zugriffszeichenfolge. Die Zugriffszeichenfolge stellt die Berechtigungsstufe für Schlüssel und Befehle bereit. Die Benutzer-ID ist eindeutig für den Benutzer und der Benutzername wird an die Engine übergeben.

Vergewissern Sie sich, dass die von Ihnen bereitgestellten Benutzerberechtigungen für den beabsichtigten Zweck der Benutzergruppe sinnvoll sind. Wenn Sie beispielsweise eine Benutzergruppe mit dem Namen Administrators erstellen, sollte jeder Benutzer, den Sie dieser Gruppe hinzufügen, seine Zugriffszeichenfolge auf vollen Zugriff auf Schlüssel und Befehle gesetzt haben. Für Benutzer in einer e-commerce-Benutzergruppe können Sie die Zugriffszeichenfolge auf Nur-Lese-Zugriff setzen.

ElastiCache konfiguriert automatisch einen Standardbenutzer mit Benutzer-ID und Benutzername "default" und fügt ihn allen Benutzergruppen hinzu. Sie können diesen Benutzer nicht löschen oder ändern. Dieser Benutzer ist aus Kompatibilitätsgründen mit dem Standardverhalten früherer OSS Redis-Versionen vorgesehen und verfügt über eine Zugriffszeichenfolge, die es ihm ermöglicht, alle Befehle aufzurufen und auf alle Schlüssel zuzugreifen.

Wenn Sie einem Cache eine angemessene Zugriffskontrolle hinzufügen möchten, ersetzen Sie diesen Standardbenutzer durch einen neuen, der nicht aktiviert ist oder ein sicheres Passwort verwendet. Um den Standardbenutzer zu ändern, erstellen Sie einen neuen Benutzer, dessen Benutzername aufdefault gesetzt ist. Sie können ihn dann mit dem ursprünglichen Standardbenutzer austauschen.

Führen Sie die folgenden Schritte aus, wie Sie den ursprünglichen default-Benutzer mit einem anderen default-Benutzer mit einer geänderten Zugriffszeichenfolge getauscht haben.

Ändern Sie den Standardbenutzer in der Konsole wie folgt:

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie aus dem Navigationsbereich Benutzergruppenverwaltung aus.

  3. Wählen Sie für Benutzergruppen-ID die ID aus, die Sie ändern möchten. Stellen Sie sicher, dass Sie den Link und nicht das Kontrollkästchen ausgewählt haben.

  4. Wählen Sie Ändern aus.

  5. Wählen Sie im Fenster Ändern die Option Verwalten und für den Benutzer, der als Standardbenutzer festgelegt werden, Benutzername aus.

  6. Wählen Sie Choose (Auswählen) aus.

  7. Wählen Sie Ändern aus. Wenn Sie dies tun, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Um den Standardbenutzer mit dem zu ändern AWS CLI

  1. Erstellen Sie einen neuen Benutzer mit dem Benutzernamen default unter Verwendung der folgenden Befehle.

    Für Linux, macOS oder Unix:

    aws elasticache create-user \
 --user-id "new-default-user" \
 --user-name "default" \
 --engine "REDIS" \
 --passwords "a-str0ng-pa))word" \
 --access-string "off +get ~keys*"

    Für Windows:

    aws elasticache create-user ^
 --user-id "new-default-user" ^
 --user-name "default" ^
 --engine "REDIS" ^
 --passwords "a-str0ng-pa))word" ^
 --access-string "off +get ~keys*"

  2. Erstellen Sie eine Benutzergruppe und fügen Sie den von Ihnen zuvor erstellten Benutzer hinzu.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \
  --user-group-id "new-group-2" \
  --engine "REDIS" \
  --user-ids "new-default-user"

    Für Windows:

    aws elasticache create-user-group ^
  --user-group-id "new-group-2" ^
  --engine "REDIS" ^
  --user-ids "new-default-user"

  3. Tauschen Sie den neuen default-Benutzer mit dem ursprünglichen default-Benutzer.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group \
    --user-group-id test-group \
    --user-ids-to-add "new-default-user" \
    --user-ids-to-remove "default"

    Für Windows:

    aws elasticache modify-user-group ^
    --user-group-id test-group ^
    --user-ids-to-add "new-default-user" ^
    --user-ids-to-remove "default"

    Wenn dieser Änderungsvorgang aufgerufen wird, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

Beachten Sie bei der Verwendung von RBAC for ElastiCache (RedisOSS) insbesondere die folgenden Einschränkungen für Benutzerkennwörter:

  • Passwörter müssen 16-128 druckbare Zeichen enthalten.

  • Folgende nicht-alphanumerische Zeichen sind nicht zulässig: , "" / @.

Benutzer mit der Konsole verwalten und CLI

Gehen Sie wie unten beschrieben vor, um die Benutzer in der Konsole zu verwalten.

Verwalten von Benutzern in der Konsole

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im ElastiCache Amazon-Dashboard Benutzerverwaltung aus. Verfügbar sind die nachfolgend aufgeführten Optionen:

    • Benutzer erstellen – Beim Erstellen eines Benutzers geben Sie eine Benutzer-ID, einen Benutzernamen, einen Authentifizierungsmodus und eine Zugriffszeichenfolge ein. Die Zugriffszeichenfolge legt die Berechtigungsstufe fest, welche Schlüssel und Befehle für den Benutzer erlaubt sind.

      Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

    • Benutzer ändern – Ermöglicht Ihnen, die Authentifizierungseinstellungen eines Benutzers zu aktualisieren oder dessen Zugriffszeichenfolge zu ändern.

    • Benutzer löschen –Das Konto wird aus allen Benutzergruppen entfernt, zu denen es gehört.

Gehen Sie wie unten beschrieben vor, um die Benutzer im AWS CLI zu verwalten.

Um einen Benutzer zu ändern, verwenden Sie CLI

  • Verwenden des modify-user-Befehls, um das Passwort oder die Passwörter eines Benutzers zu aktualisieren oder die Zugriffsberechtigungen eines Benutzers zu ändern.

    Wenn ein Benutzer geändert wird, werden die Benutzergruppen, die dem Benutzer zugeordnet sind, gemeinsam mit allen Caches aktualisiert, die der Benutzergruppe zugeordnet sind. Alle vorhandenen Verbindungen werden gewartet. Im Folgenden sind einige Beispiele aufgeführt.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user \
  --user-id user-id-1 \
  --access-string "~objects:* ~items:* ~public:*" \
  --no-password-required

    Für Windows:

    aws elasticache modify-user ^
  --user-id user-id-1 ^
  --access-string "~objects:* ~items:* ~public:*" ^
  --no-password-required
Anmerkung

Wir raten davon ab, die nopass-Option zu nutzen. Wenn Sie dies tun, empfehlen wir, die Berechtigungen des Benutzers auf Nur-Lese-Zugriff und auf einen begrenzten Satz von Schlüsseln festzulegen.

Um einen Benutzer mit dem zu löschen CLI

  • Verwenden Sie den Befehl delete-user, um einen Benutzer zu löschen. Das Konto wird gelöscht und aus allen zugehörigen Benutzergruppen entfernt. Im Folgenden wird ein Beispiel gezeigt.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user \
  --user-id user-id-2

    Für Windows:

    aws elasticache delete-user ^
  --user-id user-id-2

Um eine Liste der Benutzer anzuzeigen, rufen Sie die describe-user-Operation auf. 

aws elasticache describe-users

Benutzergruppen mit der Konsole verwalten und CLI

Sie können Benutzergruppen erstellen, um den Zugriff von Benutzern auf einen oder mehrere Caches zu organisieren und zu steuern, wie im Folgenden dargestellt.

Gehen Sie wie unten beschrieben vor, um die Benutzergruppen in der Konsole zu verwalten.

So verwalten Sie Benutzergruppen mithilfe der Konsole

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im ElastiCache Amazon-Dashboard die Option Benutzergruppenverwaltung aus.

    Die folgenden Operationen sind verfügbar, um neue Benutzergruppen zu erstellen:

    • Erstellen – Wenn Sie eine Benutzergruppe erstellen, fügen Sie Benutzer hinzu und ordnen die Benutzergruppen dann Caches zu. So können Sie beispielsweise eine Admin-Benutzergruppe für Benutzer erstellen, die über Administratorrollen in einem Cache verfügen.

      Wichtig

      Wenn Sie eine Benutzergruppe erstellen, müssen Sie den Standardbenutzer einbeziehen.

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe Benutzer hinzu.

    • Entfernen von Benutzern – Entfernt Benutzer aus der Benutzergruppe. Wenn Benutzer aus einer Benutzergruppe entfernt werden, werden alle vorhandenen Verbindungen, die diese mit einem Cache haben, beendet.

    • Löschen – Verwenden Sie diese Option, um eine Benutzergruppe zu löschen. Beachten Sie, dass nur die Benutzergruppe selbst und nicht die Benutzer, die zu dieser Gruppe gehören, gelöscht wird.

    Für bestehende Benutzergruppen können Sie die folgenden Aktionen ausführen:

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe bereits vorhandene Benutzer hinzu.

    • Benutzer löschen – Entfernt vorhandene Benutzer aus der Benutzergruppe.

      Anmerkung

      Benutzer werden von der Benutzergruppe entfernt, aber nicht aus dem System gelöscht.

Verwenden Sie die folgenden Verfahren, um Benutzergruppen mithilfe von zu verwaltenCLI.

Um eine neue Benutzergruppe zu erstellen und einen Benutzer hinzuzufügen, verwenden Sie CLI

  • Geben Sie wie nachfolgend gezeigt den create-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \
  --user-group-id "new-group-1" \
  --engine "REDIS" \
  --user-ids user-id-1, user-id-2

    Für Windows:

    aws elasticache create-user-group ^
  --user-group-id "new-group-1" ^
  --engine "REDIS" ^
  --user-ids user-id-1, user-id-2
Um eine Benutzergruppe zu ändern, indem Sie neue Benutzer hinzufügen oder aktuelle Mitglieder entfernen, verwenden Sie CLI

  • Geben Sie wie nachfolgend gezeigt den modify-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group --user-group-id new-group-1 \
--user-ids-to-add user-id-3 \
--user-ids-to-remove user-id-2

    Für Windows:

    aws elasticache modify-user-group --user-group-id new-group-1 ^
--user-ids-to-add userid-3 ^
--user-ids-to-removere user-id-2
Anmerkung

Alle offenen Verbindungen, die zu einem Benutzer gehören, der aus einer Benutzergruppe entfernt wurde, werden mit diesem Befehl beendet.

Um eine Benutzergruppe zu löschen, verwenden Sie CLI

  • Geben Sie wie nachfolgend gezeigt den delete-user-group-Befehl ein. Die Benutzergruppe selbst, nicht die zur Gruppe gehörenden Benutzer, wird gelöscht.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user-group /
   --user-group-id

    Für Windows:

    aws elasticache delete-user-group ^
   --user-group-id

Um eine Liste von Benutzergruppen zu sehen, können Sie den describe-user-groupsVorgang aufrufen.

aws elasticache describe-user-groups \
  --user-group-id test-group

Zuweisen von Benutzergruppen zu Serverless-Caches

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung RBAC darin, die Benutzergruppe einem serverlosen Cache zuzuweisen.

Zuweisen von Benutzergruppen zu Serverless-Caches mithilfe der Konsole

Gehen Sie wie folgt vor, um einem serverlosen Cache mithilfe von eine Benutzergruppe hinzuzufügen: AWS Management Console

Zuweisen von Benutzergruppen zu serverlosen Caches mithilfe von AWS CLI

Der folgende AWS CLI Vorgang erstellt einen serverlosen Cache unter Verwendung des user-group-id Parameters mit dem Wert. my-user-group-id Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter

  • --engine— Muss valkey oder redis sein.

  • --user-group-id – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

Für Linux, macOS oder Unix:

aws elasticache create-serverless-cache \
    --serverless-cache-name "new-serverless-cache" \
    --description "new-serverless-cache" \
    --engine "redis" \
    --user-group-id "new-group-1"

Für Windows:

aws elasticache create-serverless-cache ^
    --serverless-cache-name "new-serverless-cache" ^
    --description "new-serverless-cache" ^
    --engine "redis" ^
    --user-group-id "new-group-1"

Die folgende AWS CLI Operation ändert einen serverlosen Cache mit dem user-group-id Parameter mit dem Wert. my-user-group-id

Für Linux, macOS oder Unix:

aws elasticache modify-serverless-cache \
    --serverless-cache-name serverless-cache-1 \
    --user-group-id "new-group-2"

Für Windows:

aws elasticache modify-serverless-cache ^
    --serverless-cache-name serverless-cache-1 ^
    --user-group-id "new-group-2"

Beachten Sie, dass jegliche an einem Cache vorgenommenen Änderungen asynchron aktualisiert werden. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter ElastiCache Ereignisse anzeigen.

Zuweisung von Benutzergruppen zu Replikationsgruppen

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung RBAC darin, die Benutzergruppe einer Replikationsgruppe zuzuweisen.

Zuweisen von Benutzergruppen zu Replikationsgruppen mit der Konsole

Gehen Sie wie folgt vor, um einer Replikation mithilfe von eine Benutzergruppe hinzuzufügen: AWS Management Console

Zuweisen von Benutzergruppen zu Replikationsgruppen mithilfe von AWS CLI

Der folgende AWS CLI Vorgang erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids Parameter mit dem Wertmy-user-group-id. Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter

  • --engine— Muss valkey oder seinredis.

  • --engine-version – Muss 6.0 oder höher sein.

  • --transit-encryption-enabled – Erforderlich für die Authentifizierung und zum Zuordnen einer Benutzergruppe.

  • --user-group-ids – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

  • --cache-subnet-group – Erforderlich für die Zuordnung einer Benutzergruppe.

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \
    --replication-group-id "new-replication-group" \
    --replication-group-description "new-replication-group" \
    --engine "redis" \
    --cache-node-type cache.m5.large \
    --transit-encryption-enabled \
    --user-group-ids "new-group-1" \
    --cache-subnet-group "cache-subnet-group"

Für Windows:

aws elasticache create-replication-group ^
    --replication-group-id "new-replication-group" ^
    --replication-group-description "new-replication-group" ^
    --engine "redis" ^
    --cache-node-type cache.m5.large ^
    --transit-encryption-enabled ^
    --user-group-ids "new-group-1" ^
    --cache-subnet-group "cache-subnet-group"

Der folgende AWS CLI Vorgang ändert eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids Parameter mit dem Wertmy-user-group-id.

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \
    --replication-group-id replication-group-1 \
    --user-group-ids-to-remove "new-group-1" \
    --user-group-ids-to-add "new-group-2"

Für Windows:

aws elasticache modify-replication-group ^
    --replication-group-id replication-group-1 ^
    --user-group-ids-to-remove "new-group-1" ^
    --user-group-ids-to-add "new-group-2"

Beachten Sie die PendingChanges in der Antwort. Jegliche an einem Cache vorgenommenen Änderungen werden asynchron aktualisiert. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter ElastiCache Ereignisse anzeigen.

Migration von zu AUTH RBAC

Gehen Sie AUTH wie unter beschrieben vor, wenn Sie auf Using umsteigen möchtenRBAC, gehen Sie wie folgt vor. Authentifizierung mit den Befehlen Valkey und Redis OSS AUTH

Gehen Sie wie folgt vor, um von der RBAC Konsole AUTH zur zu migrieren.

Um von Valkey oder Redis OSS AUTH zur RBAC Verwendung der Konsole zu migrieren

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Konsole unter. https://console.aws.amazon.com/elasticache/

  2. Wählen Sie aus der Liste in der oberen rechten Ecke die AWS Region aus, in der sich der Cache befindet, den Sie ändern möchten.

  3. Wählen Sie im Navigationsbereich die Engine, die in dem Cache ausgeführt wird, den Sie ändern möchten.

    Es wird eine Liste der Caches der ausgewählten Engine angezeigt.

  4. Wählen Sie in der Liste der Caches den Namen des Caches aus, den Sie ändern möchten.

  5. Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.

    Das Fenster Ändern wird angezeigt.

  6. Wählen Sie für Zugriffskontroll die Option Zugriffskontrollliste für Benutzergruppen aus.

  7. Wählen Sie für Zugriffskontrollliste für Benutzergruppen eine Benutzergruppe aus.

  8. Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.

Gehen Sie wie folgt vor, um von Valkey oder Redis OSS AUTH zur Verwendung von zu migrieren. RBAC CLI

Um von zu mit dem AUTH zu RBAC migrieren CLI

  • Geben Sie wie nachfolgend gezeigt den modify-replication-group-Befehl ein.

    Für Linux, macOS oder Unix:

      
aws elasticache modify-replication-group --replication-group-id test \
    --auth-token-update-strategy DELETE \
    --user-group-ids-to-add user-group-1

    Für Windows:

      
aws elasticache modify-replication-group --replication-group-id test ^
    --auth-token-update-strategy DELETE ^
    --user-group-ids-to-add user-group-1

Migration von nach RBAC AUTH

Wenn Sie Redis verwenden RBAC und zu Redis OSS AUTH migrieren möchten, finden Sie weitere Informationen unter. Migration von zu RBAC AUTH

Anmerkung

Wenn Sie die Zugriffskontrolle für einen ElastiCache Cache deaktivieren müssen, müssen Sie dies über den AWS CLI tun. Weitere Informationen finden Sie unter Deaktivieren der Zugriffskontrolle für einen ElastiCache Valkey- oder Redis-Cache OSS.