Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizierung mit den Befehlen Valkey und Redis OSS AUTH
Anmerkung
Der AUTH wurde ersetzt durch. Rollenbasierte Zugriffskontrolle () RBAC Alle serverlosen Caches müssen für die Authentifizierung verwendet werden. RBAC
Valkey- und OSS Redis-Authentifizierungstoken oder Passwörter ermöglichen es Valkey und RedisOSS, ein Passwort anzufordern, bevor Clients Befehle ausführen können, wodurch die Datensicherheit verbessert wird. Das AUTH ist nur für selbst entworfene Cluster verfügbar.
Themen
Überblick über das AUTH ElastiCache mit Valkey und Redis OSS
Wenn Sie den AUTH ElastiCache mit Ihrem Valkey- oder OSS Redis-Cluster verwenden, gibt es einige Verbesserungen.
Beachten Sie insbesondere diese AUTH Token- oder Passwortbeschränkungen, wenn Sie Folgendes verwenden: AUTH
-
Token oder Kennwörter müssen 16-128 druckbare Zeichen enthalten.
-
Nicht alphanumerische Zeichen sind auf (!, &, #, $, ^, <, >, -).
-
AUTHkann nur für die Verschlüsselung während der Übertragung aktiviert werden, die ElastiCache mit Valkey- oder OSS Redis-Clustern aktiviert ist.
Um ein starkes Token einzurichten, wird empfohlen, eine strenge Passwortrichtlinie zu befolgen, z. B. die Folgende:
-
Token oder Passwörter müssen mindestens drei der folgenden Zeichentypen enthalten:
-
Uppercase characters
-
Lowercase characters
-
Ziffern
-
Nicht-alphanumerische Zeichen (
!,&,#,$,^,<,>,-)
-
-
Token oder Passwörter dürfen kein Wörterbuchwort oder ein leicht modifiziertes Wörterbuchwort enthalten.
-
Tokens oder Passwörter dürfen nicht mit einem kürzlich verwendeten Token identisch oder diesem ähnlich sein.
Anwenden der Authentifizierung auf einen ElastiCache Cluster mit Valkey oder Redis OSS
Sie können verlangen, dass Benutzer ein Token (Passwort) auf einem tokengeschützten Valkey- oder Redis-Server eingeben. OSS Fügen Sie dazu den Parameter --auth-token (API:AuthToken) mit dem richtigen Token hinzu, wenn Sie Ihre Replikationsgruppe oder Ihren Replikationscluster erstellen. Fügen Sie ihn auch in alle nachfolgenden Befehle an die Replikationsgruppe oder den Cluster ein.
Der folgende AWS CLI Vorgang erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem AUTH TokenThis-is-a-sample-tokensng-test durch eine vorhandene Subnetzgruppe.
Hauptparameter
-
--engine— Mussvalkeyoder seinredis. -
--engine-version— Wenn die Engine Redis istOSS, muss es 3.2.6, 4.0.10 oder höher sein. -
--transit-encryption-enabled— Erforderlich für Authentifizierung und Eignung. HIPAA -
--auth-token— Für die HIPAA Teilnahmeberechtigung erforderlich. Dieser Wert muss das richtige Token für diesen tokengeschützten Valkey- oder Redis-Server sein. OSS -
--cache-subnet-group— Für die Teilnahmeberechtigung erforderlich. HIPAA
Für Linux, macOS oder Unix:
aws elasticache create-replication-group \ --replication-group-idauthtestgroup\ --replication-group-descriptionauthtest\ --engineredis\ --cache-node-typecache.m4.large\ --num-node-groups1\ --replicas-per-node-group2\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token\ --cache-subnet-groupsng-test
Für Windows:
aws elasticache create-replication-group ^ --replication-group-idauthtestgroup^ --replication-group-descriptionauthtest^ --engineredis^ --cache-node-typecache.m4.large^ --num-node-groups1^ --replicas-per-node-group2^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token^ --cache-subnet-groupsng-test
Ändern des AUTH Tokens auf einem vorhandenen Cluster
Um die Aktualisierung Ihrer Authentifizierung zu vereinfachen, können Sie das auf einem Cluster verwendete AUTH Token ändern. Sie können diese Änderung vornehmen, wenn die Engine-Version Valkey 7.2 oder höher oder Redis 5.0.6 oder höher ist. ElastiCache muss außerdem die Verschlüsselung bei der Übertragung aktiviert sein.
Das Ändern des Authentifizierungstokens unterstützt zwei Strategien: ROTATE undSET. Die ROTATE Strategie fügt dem Server ein zusätzliches AUTH Token hinzu, wobei das vorherige Token beibehalten wird. Die SET Strategie aktualisiert den Server so, dass er nur ein einzelnes AUTH Token unterstützt. Führen Sie diese Änderungsaufrufe mit dem --apply-immediately-Parameter durch, um die Änderungen sofort anzuwenden.
Rotation des AUTH Tokens
Um einen Valkey- oder OSS Redis-Server mit einem neuen AUTHToken zu aktualisieren, rufen Sie den ModifyReplicationGroup API mit dem --auth-token Parameter als neuem AUTH Token und --auth-token-update-strategy mit dem Wert auf. ROTATE Nach Abschluss der ROTATE Änderung unterstützt der Cluster zusätzlich zu dem im Parameter angegebenen AUTH Token das vorherige Token. auth-token Wenn vor der Token-Rotation kein AUTH AUTH Token für die Replikationsgruppe konfiguriert wurde, unterstützt der Cluster das im --auth-token Parameter angegebene AUTH Token zusätzlich zur Unterstützung von Verbindungen ohne Authentifizierung. Informationen Einstellung des Tokens AUTH zur Aktualisierung des erforderlichen AUTH Tokens finden Sie unter Verwendung der AktualisierungsstrategieSET.
Anmerkung
Wenn Sie das AUTH Token nicht zuvor konfiguriert haben, unterstützt der Cluster nach Abschluss der Änderung kein anderes AUTH Token als das im Parameter auth-token angegebene.
Wenn diese Änderung auf einem Server durchgeführt wird, der bereits zwei AUTH Token unterstützt, wird bei diesem Vorgang auch das älteste AUTH Token entfernt. Auf diese Weise kann ein Server bis zu zwei aktuelle AUTH Token gleichzeitig unterstützen.
An diesem Punkt können Sie fortfahren, indem Sie den Client so aktualisieren, dass er das neueste AUTH Token verwendet. Nachdem die Clients aktualisiert wurden, können Sie die SET Strategie für die AUTH Token-Rotation (die im folgenden Abschnitt erklärt wird) verwenden, um ausschließlich das neue Token zu verwenden.
Mit dem folgenden AWS CLI Vorgang wird eine Replikationsgruppe so geändert, dass das AUTH Token This-is-the-rotated-token
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-rotated-token\ --auth-token-update-strategy ROTATE \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-rotated-token^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Einstellung des Tokens AUTH
Um einen Valkey- oder OSS Redis-Server so zu aktualisieren, dass er ein einzelnes erforderliches AUTH Token unterstützt, rufen Sie den ModifyReplicationGroup API Vorgang mit dem --auth-token Parameter auf, der denselben Wert wie das letzte AUTH Token hat, und dem --auth-token-update-strategy Parameter mit dem Wert. SET Die SET Strategie kann nur mit einem Cluster verwendet werden, der über 2 AUTH Token oder 1 optionales AUTH Token aus einer früheren ROTATE Strategie verfügt. Nach Abschluss der Änderung unterstützt der Server nur das im Parameter AUTH auth-token angegebene Token.
Mit dem folgenden AWS CLI Vorgang wird eine Replikationsgruppe geändert, auf die das AUTH Token festgelegt werden soll. This-is-the-set-token
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-set-token\ --auth-token-update-strategy SET \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-set-token^ --auth-token-update-strategy SET ^ --apply-immediately
Aktivierung der Authentifizierung auf einem vorhandenen Cluster
Rufen Sie den Vorgang auf, um die Authentifizierung auf einem vorhandenen Valkey- oder OSS Redis-Server zu aktivieren. ModifyReplicationGroup API Rufen Sie ModifyReplicationGroup mit dem --auth-token Parameter als neuem Token und dem --auth-token-update-strategy mit dem Wert auf. ROTATE
Nach Abschluss der ROTATE Änderung unterstützt der Cluster das im --auth-token Parameter angegebene AUTH Token und unterstützt zusätzlich die Verbindung ohne Authentifizierung. Sobald alle Client-Anwendungen aktualisiert wurden, um sich OSS mit dem AUTH Token bei Valkey oder Redis zu authentifizieren, verwenden Sie die SET Strategie, um das AUTH Token als erforderlich zu markieren. Die Aktivierung der Authentifizierung wird nur auf Valkey- und OSS Redis-Servern unterstützt, auf denen die Verschlüsselung bei der Übertragung () aktiviert ist. TLS
Migration von zu RBAC AUTH
Wenn Sie Benutzer mit Valkey oder Redis OSS Role-Based Access Control (RBAC) authentifizieren, wie unter beschriebenRollenbasierte Zugriffskontrolle () RBAC, und Sie zu dieser migrieren möchtenAUTH, verwenden Sie die folgenden Verfahren. Sie können die Migration entweder über die Konsole oder durchführen. CLI
Um von zu AUTH mithilfe der Konsole RBAC zu migrieren
Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Konsole unter https://console.aws.amazon.com/elasticache/
. -
Wählen Sie aus der Liste in der oberen rechten Ecke die AWS Region aus, in der sich der Cluster befindet, den Sie ändern möchten.
-
Wählen Sie im Navigationsbereich die Engine, die auf dem Cluster ausgeführt wird, den Sie modifizieren möchten.
Es wird eine Liste der ausgewählten Engine-Cluster angezeigt.
-
Wählen Sie in der Liste der Cluster den Namen des Clusters aus, den Sie modifizieren möchten..
-
Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.
Das Fenster Ändern wird angezeigt.
-
Wählen Sie für die Zugriffskontrolle AUTH Valkey-Standardbenutzerzugriff oder OSSAUTHRedis-Standardbenutzerzugriff.
-
Legen Sie unter AUTHValkey-Token oder OSSAUTHRedis-Token ein neues Token fest.
-
Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.
Um von zu zu migrierenRBAC, verwenden Sie AUTH AWS CLI
Verwenden Sie einen der folgenden Befehle, um ein neues optionales AUTH Token für Ihre Valkey- oder OSS Redis-Replikationsgruppe zu konfigurieren. Beachten Sie, dass ein optionales Auth-Token einen nicht authentifizierten Zugriff auf die Replikationsgruppe ermöglicht, bis das Auth-Token als erforderlich gekennzeichnet ist. Verwenden Sie dabei die Aktualisierungsstrategie im folgenden Schritt. SET
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Nachdem Sie den obigen Befehl ausgeführt haben, können Sie Ihre Valkey- oder OSS Redis-Anwendungen aktualisieren, um sich mit dem neu konfigurierten optionalen Token bei der ElastiCache Replikationsgruppe zu authentifizieren. AUTH Verwenden Sie die Aktualisierungsstrategie SET im nachfolgenden Befehl unten, um die Auth-Token-Rotation abzuschließen. Dadurch wird das optionale AUTH Token als erforderlich markiert. Wenn die Aktualisierung des Auth-Tokens abgeschlossen ist, wird der Status der Replikationsgruppe als angezeigt ACTIVE und für alle Verbindungen zu dieser Replikationsgruppe ist eine Authentifizierung erforderlich.
Für Linux, macOS oder Unix:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Für Windows:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
Weitere Informationen finden Sie unter Authentifizierung mit den Befehlen Valkey und Redis OSS AUTH.
Anmerkung
Informationen dazu, wie Sie die Zugriffskontrolle auf einem ElastiCache Cluster deaktivieren müssen, finden Sie unterDeaktivieren der Zugriffskontrolle für einen ElastiCache Valkey- oder Redis-Cache OSS.
