Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizierung mit dem Befehl Valkey und Redis OSS AUTH
Anmerkung
Der AUTH wurde ersetzt durch. Rollenbasierte Zugriffskontrolle (RBAC) Alle Serverless-Caches müssen RBAC für die Authentifizierung verwenden.
Valkey und Redis OSS-Authentifizierungstoken oder Passwörter ermöglichen es Valkey und Redis OSS, ein Passwort anzufordern, bevor Clients Befehle ausführen können, wodurch die Datensicherheit verbessert wird. Das AUTH ist nur für selbst entworfene Cluster verfügbar.
Themen
Überblick über AUTH ElastiCache für Valkey und Redis OSS
Wenn Sie den AUTH mit Ihrem OSS-Cluster ElastiCache für Valkey und Redis verwenden, gibt es einige Verbesserungen.
Beachten Sie bei der Verwendung von AUTH insbesondere die folgenden Einschränkungen für AUTH-Token oder -Passwörter:
-
Token oder Kennwörter müssen 16-128 druckbare Zeichen enthalten.
-
Nicht alphanumerische Zeichen sind auf (!, &, #, $, ^, <, >, -).
-
AUTH kann nur für Valkey- oder Redis OSS-Cluster aktiviert werden, für die Verschlüsselung während der Übertragung aktiviert ist.
Um ein starkes Token einzurichten, wird empfohlen, eine strenge Passwortrichtlinie zu befolgen, z. B. die Folgende:
-
Token oder Passwörter müssen mindestens drei der folgenden Zeichentypen enthalten:
-
Uppercase characters
-
Lowercase characters
-
Ziffern
-
Nicht-alphanumerische Zeichen (
!,&,#,$,^,<,>,-)
-
-
Token oder Passwörter dürfen kein Wörterbuchwort oder ein leicht modifiziertes Wörterbuchwort enthalten.
-
Tokens oder Passwörter dürfen nicht mit einem kürzlich verwendeten Token identisch oder diesem ähnlich sein.
Anwenden der Authentifizierung auf einen ElastiCache OSS-Cluster für Valkey und Redis
Sie können verlangen, dass Benutzer ein Token (Passwort) auf einem tokengeschützten Valkey- oder Redis OSS-Server eingeben. Geben Sie dazu beim Erstellen Ihrer Replikationsgruppe oder Ihres Clusters den Parameter --auth-token (API: AuthToken) mit dem richtigen Token an. Fügen Sie ihn auch in alle nachfolgenden Befehle an die Replikationsgruppe oder den Cluster ein.
Der folgende AWS CLI Vorgang erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem Token. AUTH This-is-a-sample-tokensng-test durch eine vorhandene Subnetzgruppe.
Hauptparameter
-
--engine— Mussvalkeyoder seinredis. -
--engine-version— Wenn die Engine Redis OSS ist, muss es 3.2.6, 4.0.10 oder höher sein. -
--transit-encryption-enabled– Erforderlich für Authentifizierung und HIPAA-Berechtigung. -
--auth-token– Für HIPAA-Konformität erforderlich. Dieser Wert muss das richtige Token für diesen tokengeschützten Valkey- oder Redis OSS-Server sein. -
--cache-subnet-group– Für HIPAA-Konformität erforderlich.
Für Linux, macOS oder Unix:
aws elasticache create-replication-group \ --replication-group-idauthtestgroup\ --replication-group-descriptionauthtest\ --engineredis\ --cache-node-typecache.m4.large\ --num-node-groups1\ --replicas-per-node-group2\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token\ --cache-subnet-groupsng-test
Für Windows:
aws elasticache create-replication-group ^ --replication-group-idauthtestgroup^ --replication-group-descriptionauthtest^ --engineredis^ --cache-node-typecache.m4.large^ --num-node-groups1^ --replicas-per-node-group2^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token^ --cache-subnet-groupsng-test
Ändern des AUTH-Tokens auf einem vorhandenen Cluster
Um die Aktualisierung Ihrer Authentifizierung zu vereinfachen, können Sie das in einem Cluster verwendete AUTH Token ändern. Sie können diese Änderung vornehmen, wenn die Engine-Version Valkey 7.2 oder höher oder Redis 5.0.6 oder höher ist. ElastiCache muss außerdem die Verschlüsselung bei der Übertragung aktiviert sein.
Das Ändern des Authentifizierungs-Token unterstützt zwei Strategien: ROTATE und SET. Die ROTATE-Strategie fügt dem Server ein zusätzliches AUTH-Token hinzu, wobei das vorherige Token beibehalten wird. Die SET-Strategie aktualisiert den Server so, dass er nur ein einziges AUTH-Token unterstützt. Führen Sie diese Änderungsaufrufe mit dem --apply-immediately-Parameter durch, um die Änderungen sofort anzuwenden.
Rotation des AUTH-Tokens
Um einen Valkey- oder Redis OSS-Server mit einem neuen AUTH-Token zu aktualisieren, rufen Sie die ModifyReplicationGroup API mit dem --auth-token Parameter als neuem AUTH Token und dem --auth-token-update-strategy Wert ROTATE auf. Nach Abschluss der ROTATE-Änderung unterstützt der Cluster zusätzlich zu dem im Parameter angegebenen das vorherige AUTH-Token. auth-token Wenn vor der AUTH-Token-Rotation kein AUTH-Token für die Replikationsgruppe konfiguriert wurde, unterstützt der Cluster das im --auth-token Parameter angegebene AUTH-Token zusätzlich zur Unterstützung von Verbindungen ohne Authentifizierung. Informationen Setzen des AUTH-Tokens zur Aktualisierung des erforderlichen AUTH-Tokens finden Sie unter Verwendung der Aktualisierungsstrategie SET.
Anmerkung
Wenn Sie das AUTH-Token vorher nicht konfigurieren, unterstützt der Cluster nach Abschluss der Änderung zusätzlich zu dem AUTH-Token, das im AUTH-Token-Parameter angegeben ist, kein weiteres AUTH-Token.
Wenn diese Änderung auf einem Server durchgeführt wird, der bereits zwei AUTH-Token unterstützt, wird bei diesem Vorgang auch das älteste AUTH-Token entfernt. Dadurch kann ein Server bis zu zwei aktuelle AUTH-Token gleichzeitig unterstützen.
An dieser Stelle können Sie fortfahren, indem Sie den Client so aktualisieren, dass er das neueste AUTH-Token verwendet. Nachdem die Clients aktualisiert wurden, können Sie die SET-Strategie für die AUTH-Token-Rotation (im folgenden Abschnitt erläutert) verwenden, um ausschließlich den neuen Token zu verwenden.
Mit dem folgenden AWS CLI Vorgang wird eine Replikationsgruppe so geändert, dass das Token rotiert wirdAUTH. This-is-the-rotated-token
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-rotated-token\ --auth-token-update-strategy ROTATE \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-rotated-token^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Setzen des AUTH-Tokens
Um einen Valkey- oder Redis OSS-Server so zu aktualisieren, dass er ein einzelnes erforderliches AUTH Token unterstützt, rufen Sie den ModifyReplicationGroup API-Vorgang mit dem --auth-token Parameter auf, der denselben Wert wie das letzte AUTH-Token hat, und dem --auth-token-update-strategy Parameter mit dem Wert. SET Die SET-Strategie kann nur mit einem Cluster verwendet werden, der über 2 AUTH-Token oder 1 optionales AUTH-Token verfügt, wenn zuvor eine ROTATE-Strategie verwendet wurde. Nach Abschluss der Änderung unterstützt der Server nur das im Parameter auth-token angegebene AUTH-Token.
Mit dem folgenden AWS CLI Vorgang wird eine Replikationsgruppe geändert, auf die das AUTH-Token festgelegt werden soll. This-is-the-set-token
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-set-token\ --auth-token-update-strategy SET \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-set-token^ --auth-token-update-strategy SET ^ --apply-immediately
Aktivierung der Authentifizierung auf einem vorhandenen Cluster
Um die Authentifizierung auf einem vorhandenen Valkey- oder Redis OSS-Server zu aktivieren, rufen Sie den ModifyReplicationGroup API-Vorgang auf. Rufen Sie ModifyReplicationGroup mit dem --auth-token-Parameter als neuem Token und --auth-token-update-strategy mit dem Wert ROTATE auf.
Nach Abschluss der ROTATE-Änderung unterstützt der Cluster das im --auth-token Parameter angegebene AUTH Token zusätzlich zur Unterstützung von Verbindungen ohne Authentifizierung. Sobald alle Client-Anwendungen für die Authentifizierung bei Valkey oder Redis OSS mit dem AUTH-Token aktualisiert wurden, verwenden Sie die SET-Strategie, um das AUTH-Token als erforderlich zu markieren. Die Aktivierung der Authentifizierung wird nur auf Valkey- und Redis OSS-Servern unterstützt, auf denen Encryption in Transit (TLS) aktiviert ist.
Migration von RBAC zu AUTH
Wenn Sie Benutzer mit Valkey oder Redis OSS Role-Based Access Control (RBAC) authentifizieren, wie unter beschriebenRollenbasierte Zugriffskontrolle (RBAC), und Sie zu AUTH migrieren möchten, verwenden Sie die folgenden Verfahren. Sie können entweder mit der Konsole oder mit dem CLI migrieren.
Um mithilfe der Konsole von RBAC zu AUTH zu migrieren
Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Konsole unter. https://console.aws.amazon.com/elasticache/
-
Wählen Sie aus der Liste in der oberen rechten Ecke die AWS Region aus, in der sich der Cluster befindet, den Sie ändern möchten.
-
Wählen Sie im Navigationsbereich die Engine, die auf dem Cluster ausgeführt wird, den Sie modifizieren möchten.
Es wird eine Liste der ausgewählten Engine-Cluster angezeigt.
-
Wählen Sie in der Liste der Cluster den Namen des Clusters aus, den Sie modifizieren möchten..
-
Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.
Das Fenster Ändern wird angezeigt.
-
Wählen Sie für Access Control Valkey AUTH default user access oder Redis OSS AUTH default user access.
-
Legen Sie unter Valkey AUTH-Token oder Redis OSS AUTH-Token ein neues Token fest.
-
Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.
Um von RBAC zu AUTH zu migrieren, verwenden Sie den AWS CLI
Verwenden Sie einen der folgenden Befehle, um ein neues optionales AUTH Token für Ihre Valkey- oder Redis OSS-Replikationsgruppe zu konfigurieren. Beachten Sie, dass ein optionales Auth-Token einen nicht authentifizierten Zugriff auf die Replikationsgruppe ermöglicht, bis das Auth-Token als erforderlich gekennzeichnet ist. Verwenden Sie dabei die Aktualisierungsstrategie im folgenden Schritt. SET
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Nachdem Sie den obigen Befehl ausgeführt haben, können Sie Ihre Valkey- oder Redis OSS-Anwendungen aktualisieren, um sich mit dem neu konfigurierten optionalen AUTH-Token bei der ElastiCache Replikationsgruppe zu authentifizieren. Verwenden Sie die Aktualisierungsstrategie SET im nachfolgenden Befehl unten, um die Auth-Token-Rotation abzuschließen. Dadurch wird das optionale AUTH-Token als erforderlich markiert. Wenn die Aktualisierung des Auth-Tokens abgeschlossen ist, wird der Status der Replikationsgruppe als angezeigt ACTIVE und für alle Verbindungen zu dieser Replikationsgruppe ist eine Authentifizierung erforderlich.
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
Weitere Informationen finden Sie unter Authentifizierung mit dem Befehl Valkey und Redis OSS AUTH.
Anmerkung
Informationen zum Deaktivieren der Zugriffskontrolle auf einem ElastiCache Cluster finden Sie unterDeaktivieren der Zugriffskontrolle auf einem ElastiCache Valkey- oder Redis-OSS-Cache.
