Rollenbasierte Zugriffskontrolle (RBAC) - Amazon ElastiCache (RedisOSS)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollenbasierte Zugriffskontrolle (RBAC)

Anstatt Benutzer mit dem Redis OSS AUTH-Befehl zu authentifizieren, wie unter beschriebenAuthentifizierung mit dem Redis OSS AUTH-Befehl, können Sie ab Redis OSS 6.0 eine Funktion namens Role-Based Access Control (RBAC) verwenden. RBAC ist auch die einzige Möglichkeit, den Zugriff auf Serverless-Caches zu kontrollieren.

Im Gegensatz zu Redis OSS AUTH, bei dem alle authentifizierten Clients vollen Cachezugriff haben, wenn ihr Token authentifiziert ist, können Sie mit RBAC den Cache-Zugriff über Benutzergruppen steuern. Diese Benutzergruppen dienen dazu, den Zugriff auf Caches zu organisieren.

Mithilfe von RBAC erstellen Sie Benutzer und weisen ihnen bestimmte Berechtigungen zu, indem Sie eine Zugriffszeichenfolge verwenden, wie im Folgenden beschrieben. Sie weisen die Benutzer Benutzergruppen zu, denen eine bestimmte Rolle zugewiesen ist (Administratoren, Personalabteilung), die dann in einem oder mehreren ElastiCache Caches (Redis OSS) bereitgestellt werden. Auf diese Weise können Sie Sicherheitsgrenzen zwischen Clients einrichten, die denselben Redis OSS-Cache oder dieselben Caches verwenden, und verhindern, dass Clients gegenseitig auf die Daten zugreifen.

RBAC wurde entwickelt, um die Einführung von Redis OSS ACL in Redis OSS 6 zu unterstützen. Wenn Sie RBAC mit Ihrem ElastiCache (Redis OSS) -Cache verwenden, gibt es einige Einschränkungen:

  • Sie können keine Passwörter in einer Zugriffsfolge angeben. Sie legen Passwörter mit CreateUseroder Anrufen fest. ModifyUser

  • Für Benutzerrechte übergeben Sie on und off als Teil der Zugriffszeichenfolge. Wenn in der Zugriffszeichenfolge keine angegeben ist, wird dem Benutzer off zugewiesen und er hat keine Zugriffsrechte für den Cache.

  • Sie können keine verbotenen oder umbenannten Befehle verwenden. Gibt man einen verbotenen oder einen umbenannten Befehl an, wird eine Ausnahme ausgelöst. Wenn Sie Zugriffskontrolllisten (ACLs) für einen umbenannten Befehl verwenden möchten, geben Sie den ursprünglichen Namen des Befehls an, d. h. den Namen des Befehls vor der Umbenennung.

  • Sie können den reset-Befehl als Teil einer Zugriffszeichenfolge nicht benutzen. Sie geben Passwörter mit API-Parametern an und ElastiCache (Redis OSS) verwaltet Passwörter. Daher können Sie reset nicht nutzen, da es alle Kennwörter für einen Benutzer entfernen würde.

  • Redis OSS 6 führt den Befehl ACL LIST ein. Dieser Befehl gibt eine Liste von Benutzern zusammen mit den für jeden Benutzer geltenden ACL-Regeln zurück. ElastiCache (Redis OSS) unterstützt den ACL LIST Befehl, bietet jedoch keine Unterstützung für Passwort-Hashes wie Redis OSS. Mit ElastiCache (Redis OSS) können Sie die Operation describe-users verwenden, um ähnliche Informationen abzurufen, einschließlich der Regeln, die in der Zugriffszeichenfolge enthalten sind. Jedoch ruft describe-user kein Benutzerkennwort ab.

    Andere schreibgeschützte Befehle, die von ElastiCache (Redis OSS) unterstützt werden, umfassen ACL WHOAMI, ACL USERS und ACL CAT. ElastiCache (Redis OSS) unterstützt keine anderen schreibbasierten ACL-Befehle.

  • Die folgenden Einschränkungen gelten:

    Ressource Maximum erlaubt
    Benutzer pro Benutzergruppe 100
    Anzahl Benutzer 1000
    Anzahl der Benutzergruppen 100

Die Verwendung von RBAC mit ElastiCache (Redis OSS) wird im Folgenden ausführlicher beschrieben.

Spezifizieren von Berechtigungen mithilfe einer Zugriffszeichenfolge

Um Berechtigungen für einen ElastiCache (Redis OSS-) Cache anzugeben, erstellen Sie eine Zugriffszeichenfolge und weisen sie einem Benutzer zu, indem Sie entweder das oder verwenden. AWS CLI AWS Management Console

Zugriffszeichenfolgen werden als eine Liste von durch Leerzeichen getrennten Regeln definiert, die für den Benutzer angewendet werden. Sie definieren, welche Befehle ein Benutzer ausführen kann und welche Schlüssel ein Benutzer benutzen kann. Um einen Befehl auszuführen, muss ein Benutzer Zugriff auf den ausgeführten Befehl und alle Schlüssel haben, auf die mit dem Befehl zugegriffen wird. Regeln werden von links nach rechts kumulativ angewendet und anstelle der angegebenen Zeichenfolge kann eine einfachere Zeichenfolge verwendet werden, wenn Redundanzen in der angegebenen Zeichenfolge vorhanden sind.

Weitere Informationen zur Syntax der ACL-Regeln finden Sie unter ACL.

Im folgenden Beispiel wird durch die Zugriffszeichenfolge ein aktiver Benutzer dargestellt, der Zugriff auf alle verfügbaren Schlüssel und Befehle hat.

on ~* +@all

Die Syntax der Zugriffszeichenfolge wird wie folgt verteilt:

  • on – Der Benutzer ist ein aktiver Benutzer.

  • ~* – Zugriff auf alle verfügbaren Schlüssel ist erlaubt.

  • +@all – Zugriff auf alle verfügbaren Befehle ist erlaubt.

Die vorgenannten Einstellungen sind am wenigsten restriktiv. Sie können diese Einstellungen ändern und sie sicherer zu machen.

Das folgende Beispiel zeigt einen Benutzer, der nur Lesezugriff auf Schlüssel hat, die mit dem Schlüsselbereich "app::" beginnen

on ~app::* -@all +@read

Sie können diese Berechtigungen weiter verfeinern, indem Sie die Befehle auflisten, auf die der Benutzer zugreifen kann:

+command1 – Der Zugriff des Benutzers auf Befehle ist auf command1 beschränkt.

+@category – Der Zugriff des Benutzers auf Befehle ist auf eine Kategorie von Befehlen beschränkt.

Informationen zum Zuweisen einer Zugriffszeichenfolge zu einem Benutzer finden Sie unter Erstellen von Benutzern und Benutzergruppen mit der Konsole und dem CLI.

Wenn Sie einen vorhandenen Workload zu migrieren ElastiCache, können Sie die Zugriffszeichenfolge durch einen Aufruf abrufenACL LIST, ohne den Benutzer und alle Passwort-Hashes.

Für Redis OSS Version 6.2 und höher wird die folgende Syntax der Zugriffszeichenfolge ebenfalls unterstützt:

  • &* – Zugriff auf alle verfügbaren Kanäle ist erlaubt.

Für Redis OSS Version 7.0 und höher wird auch die folgende Syntax für Zugriffszeichenfolgen unterstützt:

  • | – kann zum Blockieren von Unterbefehlen verwendet werden (z. B. „-config|set“).

  • %R~<pattern> – fügt das angegebene Leseschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, aus Schlüsseln zu lesen, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter Wichtigen Berechtigungen.

  • %W~<pattern> – fügt das angegebene Schreibschlüsselmuster hinzu. Dies verhält sich ähnlich wie das reguläre Schlüsselmuster, gewährt jedoch nur die Erlaubnis, in Schlüssel zu schreiben, die dem angegebenen Muster entsprechen. Weitere Informationen finden Sie unter Wichtigen Berechtigungen.

  • %RW~<pattern> – Alia für ~<pattern>.

  • (<rule list>) – erstellt einen neuen Selektor, mit dem die Regeln verglichen werden sollen. Selektoren werden nach den Benutzerberechtigungen und in der Reihenfolge bewertet, in der sie definiert sind. Wenn ein Befehl entweder den Benutzerberechtigungen oder einem beliebigen Selektor entspricht, ist er zulässig. Weitere Informationen finden Sie unter ACL-Selektoren.

  • clearselectors – löscht alle an den Benutzer angehängten Selektoren.

Anwenden von RBAC auf einen Cache für ElastiCache (Redis OSS)

Um ElastiCache (Redis OSS) RBAC zu verwenden, gehen Sie wie folgt vor:

  1. Erstellung eines oder mehrerer Benutzer.

  2. Erstellen Sie eine Benutzergruppe und fügen Sie der Gruppe Benutzer hinzu.

  3. Weisen Sie die Benutzergruppe einen Cache zu, bei dem die Verschlüsselung während der Übertragung aktiviert ist.

Diese Schritte werden im Folgenden detailliert beschrieben.

Erstellen von Benutzern und Benutzergruppen mit der Konsole und dem CLI

Die Benutzerinformationen für RBAC-Benutzer sind eine Benutzer-ID, ein Benutzername, sowie optional ein Kennwort und eine Zugriffszeichenfolge. Die Zugriffszeichenfolge stellt die Berechtigungsstufe für Schlüssel und Befehle bereit. Die Benutzer-ID ist eindeutig für den Benutzer und der Benutzername wird an die Engine übergeben.

Vergewissern Sie sich, dass die von Ihnen bereitgestellten Benutzerberechtigungen für den beabsichtigten Zweck der Benutzergruppe sinnvoll sind. Wenn Sie beispielsweise eine Benutzergruppe mit dem Namen Administrators erstellen, sollte jeder Benutzer, den Sie dieser Gruppe hinzufügen, seine Zugriffszeichenfolge auf vollen Zugriff auf Schlüssel und Befehle gesetzt haben. Für Benutzer in einer e-commerce-Benutzergruppe können Sie die Zugriffszeichenfolge auf Nur-Lese-Zugriff setzen.

ElastiCache konfiguriert automatisch einen Standardbenutzer mit Benutzer-ID und Benutzername "default" und fügt ihn allen Benutzergruppen hinzu. Sie können diesen Benutzer nicht löschen oder ändern. Dieser Benutzer ist aus Gründen der Kompatibilität mit dem Standardverhalten früherer Redis OSS-Versionen vorgesehen und verfügt über eine Zugriffszeichenfolge, die es ihm ermöglicht, alle Befehle aufzurufen und auf alle Schlüssel zuzugreifen.

Wenn Sie einem Cache eine angemessene Zugriffskontrolle hinzufügen möchten, ersetzen Sie diesen Standardbenutzer durch einen neuen, der nicht aktiviert ist oder ein sicheres Passwort verwendet. Um den Standardbenutzer zu ändern, erstellen Sie einen neuen Benutzer, dessen Benutzername aufdefault gesetzt ist. Sie können ihn dann mit dem ursprünglichen Standardbenutzer austauschen.

Führen Sie die folgenden Schritte aus, wie Sie den ursprünglichen default-Benutzer mit einem anderen default-Benutzer mit einer geänderten Zugriffszeichenfolge getauscht haben.

Ändern Sie den Standardbenutzer in der Konsole wie folgt:
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie aus dem Navigationsbereich Benutzergruppenverwaltung aus.

  3. Wählen Sie für Benutzergruppen-ID die ID aus, die Sie ändern möchten. Stellen Sie sicher, dass Sie den Link und nicht das Kontrollkästchen ausgewählt haben.

  4. Wählen Sie Ändern aus.

  5. Wählen Sie im Fenster Ändern die Option Verwalten und für den Benutzer, der als Standardbenutzer festgelegt werden, Benutzername aus.

  6. Wählen Sie Choose (Auswählen) aus.

  7. Wählen Sie Ändern aus. Wenn Sie dies tun, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Um den Standardbenutzer mit dem zu ändern AWS CLI
  1. Erstellen Sie einen neuen Benutzer mit dem Benutzernamen default unter Verwendung der folgenden Befehle.

    Für Linux, macOS oder Unix:

    aws elasticache create-user \ --user-id "new-default-user" \ --user-name "default" \ --engine "REDIS" \ --passwords "a-str0ng-pa))word" \ --access-string "off +get ~keys*"

    Für Windows:

    aws elasticache create-user ^ --user-id "new-default-user" ^ --user-name "default" ^ --engine "REDIS" ^ --passwords "a-str0ng-pa))word" ^ --access-string "off +get ~keys*"
  2. Erstellen Sie eine Benutzergruppe und fügen Sie den von Ihnen zuvor erstellten Benutzer hinzu.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \ --user-group-id "new-group-2" \ --engine "REDIS" \ --user-ids "new-default-user"

    Für Windows:

    aws elasticache create-user-group ^ --user-group-id "new-group-2" ^ --engine "REDIS" ^ --user-ids "new-default-user"
  3. Tauschen Sie den neuen default-Benutzer mit dem ursprünglichen default-Benutzer.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group \ --user-group-id test-group \ --user-ids-to-add "new-default-user" \ --user-ids-to-remove "default"

    Für Windows:

    aws elasticache modify-user-group ^ --user-group-id test-group ^ --user-ids-to-add "new-default-user" ^ --user-ids-to-remove "default"

    Wenn dieser Änderungsvorgang aufgerufen wird, werden alle vorhandenen Verbindungen mit einem Cache, die der ursprüngliche Standardbenutzer hatte, beendet.

Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

Beachten Sie insbesondere die folgenden Einschränkungen bei Benutzerkennwörtern, wenn Sie RBAC for ElastiCache (Redis OSS) verwenden:

  • Passwörter müssen 16-128 druckbare Zeichen enthalten.

  • Folgende nicht-alphanumerische Zeichen sind nicht zulässig: , "" / @.

Verwalten von Benutzern mit der Konsole und dem CLI

Gehen Sie wie unten beschrieben vor, um die Benutzer in der Konsole zu verwalten.

Verwalten von Benutzern in der Konsole
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im ElastiCache Amazon-Dashboard Benutzerverwaltung aus. Verfügbar sind die nachfolgend aufgeführten Optionen:

    • Benutzer erstellen – Beim Erstellen eines Benutzers geben Sie eine Benutzer-ID, einen Benutzernamen, einen Authentifizierungsmodus und eine Zugriffszeichenfolge ein. Die Zugriffszeichenfolge legt die Berechtigungsstufe fest, welche Schlüssel und Befehle für den Benutzer erlaubt sind.

      Beim Erstellen eines Benutzers können Sie bis zu zwei Passwörter einrichten. Wenn Sie ein Passwort ändern, werden alle vorhandenen Verbindungen mit Caches beibehalten.

    • Benutzer ändern – Ermöglicht Ihnen, die Authentifizierungseinstellungen eines Benutzers zu aktualisieren oder dessen Zugriffszeichenfolge zu ändern.

    • Benutzer löschen –Das Konto wird aus allen Benutzergruppen entfernt, zu denen es gehört.

Gehen Sie wie unten beschrieben vor, um die Benutzer im AWS CLI zu verwalten.

So ändern Sie einen Benutzer mit dem CLI
  • Verwenden des modify-user-Befehls, um das Passwort oder die Passwörter eines Benutzers zu aktualisieren oder die Zugriffsberechtigungen eines Benutzers zu ändern.

    Wenn ein Benutzer geändert wird, werden die Benutzergruppen, die dem Benutzer zugeordnet sind, gemeinsam mit allen Caches aktualisiert, die der Benutzergruppe zugeordnet sind. Alle vorhandenen Verbindungen werden gewartet. Im Folgenden sind einige Beispiele aufgeführt.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user \ --user-id user-id-1 \ --access-string "~objects:* ~items:* ~public:*" \ --no-password-required

    Für Windows:

    aws elasticache modify-user ^ --user-id user-id-1 ^ --access-string "~objects:* ~items:* ~public:*" ^ --no-password-required
Anmerkung

Wir raten davon ab, die nopass-Option zu nutzen. Wenn Sie dies tun, empfehlen wir, die Berechtigungen des Benutzers auf Nur-Lese-Zugriff und auf einen begrenzten Satz von Schlüsseln festzulegen.

So löschen Sie einen Benutzer mit dem CLI
  • Verwenden Sie den Befehl delete-user, um einen Benutzer zu löschen. Das Konto wird gelöscht und aus allen zugehörigen Benutzergruppen entfernt. Im Folgenden wird ein Beispiel gezeigt.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user \ --user-id user-id-2

    Für Windows:

    aws elasticache delete-user ^ --user-id user-id-2

Um eine Liste der Benutzer anzuzeigen, rufen Sie die describe-user-Operation auf.

aws elasticache describe-users

Verwalten von Benutzergruppen mit der Konsole und dem CLI

Sie können Benutzergruppen erstellen, um den Zugriff von Benutzern auf einen oder mehrere Caches zu organisieren und zu steuern, wie im Folgenden dargestellt.

Gehen Sie wie unten beschrieben vor, um die Benutzergruppen in der Konsole zu verwalten.

So verwalten Sie Benutzergruppen mithilfe der Konsole
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die ElastiCache Amazon-Konsole unter https://console.aws.amazon.com/elasticache/.

  2. Wählen Sie im ElastiCache Amazon-Dashboard Benutzergruppenverwaltung aus.

    Die folgenden Operationen sind verfügbar, um neue Benutzergruppen zu erstellen:

    • Erstellen – Wenn Sie eine Benutzergruppe erstellen, fügen Sie Benutzer hinzu und ordnen die Benutzergruppen dann Caches zu. So können Sie beispielsweise eine Admin-Benutzergruppe für Benutzer erstellen, die über Administratorrollen in einem Cache verfügen.

      Wichtig

      Wenn Sie eine Benutzergruppe erstellen, müssen Sie den Standardbenutzer einbeziehen.

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe Benutzer hinzu.

    • Entfernen von Benutzern – Entfernt Benutzer aus der Benutzergruppe. Wenn Benutzer aus einer Benutzergruppe entfernt werden, werden alle vorhandenen Verbindungen, die diese mit einem Cache haben, beendet.

    • Löschen – Verwenden Sie diese Option, um eine Benutzergruppe zu löschen. Beachten Sie, dass nur die Benutzergruppe selbst und nicht die Benutzer, die zu dieser Gruppe gehören, gelöscht wird.

    Für bestehende Benutzergruppen können Sie die folgenden Aktionen ausführen:

    • Benutzer hinzufügen – Fügen Sie der Benutzergruppe bereits vorhandene Benutzer hinzu.

    • Benutzer löschen – Entfernt vorhandene Benutzer aus der Benutzergruppe.

      Anmerkung

      Benutzer werden von der Benutzergruppe entfernt, aber nicht aus dem System gelöscht.

Gehen Sie wie unten beschrieben vor, um die Benutzergruppen im CLI zu verwalten.

So erstellen Sie eine neue Benutzergruppe und fügen einen Benutzer mittels der CLI hinzu
  • Geben Sie wie nachfolgend gezeigt den create-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache create-user-group \ --user-group-id "new-group-1" \ --engine "REDIS" \ --user-ids user-id-1, user-id-2

    Für Windows:

    aws elasticache create-user-group ^ --user-group-id "new-group-1" ^ --engine "REDIS" ^ --user-ids user-id-1, user-id-2
So ändern Sie eine Benutzergruppe durch Hinzufügen neuer Benutzer oder Entfernen aktueller Mitglieder mit der CLI
  • Geben Sie wie nachfolgend gezeigt den modify-user-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache modify-user-group --user-group-id new-group-1 \ --user-ids-to-add user-id-3 \ --user-ids-to-remove user-id-2

    Für Windows:

    aws elasticache modify-user-group --user-group-id new-group-1 ^ --user-ids-to-add userid-3 ^ --user-ids-to-removere user-id-2
Anmerkung

Alle offenen Verbindungen, die zu einem Benutzer gehören, der aus einer Benutzergruppe entfernt wurde, werden mit diesem Befehl beendet.

So löschen Sie eine Benutzergruppe mit dem CLI
  • Geben Sie wie nachfolgend gezeigt den delete-user-group-Befehl ein. Die Benutzergruppe selbst, nicht die zur Gruppe gehörenden Benutzer, wird gelöscht.

    Für Linux, macOS oder Unix:

    aws elasticache delete-user-group / --user-group-id

    Für Windows:

    aws elasticache delete-user-group ^ --user-group-id

Um eine Liste der Benutzergruppen zu sehen, können Sie den describe-user-groupsVorgang aufrufen.

aws elasticache describe-user-groups \ --user-group-id test-group

Zuweisen von Benutzergruppen zu Serverless-Caches

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung von RBAC darin, diese Benutzergruppe einem Serverless-Cache zuzuweisen.

Zuweisen von Benutzergruppen zu Serverless-Caches mithilfe der Konsole

Gehen Sie wie folgt vor, um einem serverlosen Cache mithilfe von eine Benutzergruppe hinzuzufügen: AWS Management Console

Zuweisen von Benutzergruppen zu serverlosen Caches mithilfe von AWS CLI

Der folgende AWS CLI Vorgang erstellt einen serverlosen Cache unter Verwendung des user-group-id Parameters mit dem Wert. my-user-group-id Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter
  • --engine – Der Wert muss redis sein.

  • --user-group-id – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

Für Linux, macOS oder Unix:

aws elasticache create-serverless-cache \ --serverless-cache-name "new-serverless-cache" \ --description "new-serverless-cache" \ --engine "redis" \ --user-group-id "new-group-1"

Für Windows:

aws elasticache create-serverless-cache ^ --serverless-cache-name "new-serverless-cache" ^ --description "new-serverless-cache" ^ --engine "redis" ^ --user-group-id "new-group-1"

Der folgende AWS CLI Vorgang ändert einen serverlosen Cache mit dem user-group-id Parameter mit dem Wert. my-user-group-id

Für Linux, macOS oder Unix:

aws elasticache modify-serverless-cache \ --serverless-cache-name serverless-cache-1 \ --user-group-id "new-group-2"

Für Windows:

aws elasticache modify-serverless-cache ^ --serverless-cache-name serverless-cache-1 ^ --user-group-id "new-group-2"

Beachten Sie, dass jegliche an einem Cache vorgenommenen Änderungen asynchron aktualisiert werden. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter Anzeigen von ElastiCache-Ereignissen.

Zuweisung von Benutzergruppen zu Replikationsgruppen

Nachdem Sie eine Benutzergruppe erstellt und Benutzer hinzugefügt haben, besteht der letzte Schritt bei der Implementierung von RBAC darin, diese Benutzergruppe einer Replikationsgruppe zuzuweisen.

Zuweisen von Benutzergruppen zu Replikationsgruppen mit der Konsole

Gehen Sie wie folgt vor, um einer Replikation mithilfe von eine Benutzergruppe hinzuzufügen: AWS Management Console

Zuweisen von Benutzergruppen zu Replikationsgruppen mithilfe von AWS CLI

Der folgende AWS CLI Vorgang erstellt eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids Parameter mit dem Wertmy-user-group-id. Ersetzen Sie die Subnetzgruppe sng-test durch eine vorhandene Subnetzgruppe.

Hauptparameter
  • --engine – Der Wert muss redis sein.

  • --engine-version – Muss 6.0 oder höher sein.

  • --transit-encryption-enabled – Erforderlich für die Authentifizierung und zum Zuordnen einer Benutzergruppe.

  • --user-group-ids – Dieser Wert gibt die ID der Benutzergruppe an, die aus Benutzern mit bestimmten Zugriffsberechtigungen für den Cache besteht.

  • --cache-subnet-group – Erforderlich für die Zuordnung einer Benutzergruppe.

Für Linux, macOS oder Unix:

aws elasticache create-replication-group \ --replication-group-id "new-replication-group" \ --replication-group-description "new-replication-group" \ --engine "redis" \ --cache-node-type cache.m5.large \ --transit-encryption-enabled \ --user-group-ids "new-group-1" \ --cache-subnet-group "cache-subnet-group"

Für Windows:

aws elasticache create-replication-group ^ --replication-group-id "new-replication-group" ^ --replication-group-description "new-replication-group" ^ --engine "redis" ^ --cache-node-type cache.m5.large ^ --transit-encryption-enabled ^ --user-group-ids "new-group-1" ^ --cache-subnet-group "cache-subnet-group"

Der folgende AWS CLI Vorgang ändert eine Replikationsgruppe mit aktivierter Verschlüsselung bei der Übertragung (TLS) und dem user-group-ids Parameter mit dem Wertmy-user-group-id.

Für Linux, macOS oder Unix:

aws elasticache modify-replication-group \ --replication-group-id replication-group-1 \ --user-group-ids-to-remove "new-group-1" \ --user-group-ids-to-add "new-group-2"

Für Windows:

aws elasticache modify-replication-group ^ --replication-group-id replication-group-1 ^ --user-group-ids-to-remove "new-group-1" ^ --user-group-ids-to-add "new-group-2"

Beachten Sie die PendingChanges in der Antwort. Jegliche an einem Cache vorgenommenen Änderungen werden asynchron aktualisiert. Sie können den Fortschritt durch Ansicht der Ereignismeldungen überwachen. Weitere Informationen finden Sie unter Anzeigen von ElastiCache-Ereignissen.

Migration von Redis OSS AUTH zu RBAC

Wenn Sie Redis OSS AUTH wie unter beschrieben verwenden Authentifizierung mit dem Redis OSS AUTH-Befehl und zu RBAC migrieren möchten, gehen Sie wie folgt vor.

Gehen Sie wie folgt vor, um mithilfe der Konsole von Redis OSS AUTH zu RBAC zu migrieren.

Um mithilfe der Konsole von Redis OSS AUTH zu RBAC zu migrieren
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Konsole unter https://console.aws.amazon.com/elasticache/ ElastiCache .

  2. Wählen Sie aus der Liste in der oberen rechten Ecke die AWS Region aus, in der sich der Cache befindet, den Sie ändern möchten.

  3. Wählen Sie im Navigationsbereich die Engine, die in dem Cache ausgeführt wird, den Sie ändern möchten.

    Es wird eine Liste der Caches der ausgewählten Engine angezeigt.

  4. Wählen Sie in der Liste der Caches den Namen des Caches aus, den Sie ändern möchten.

  5. Wählen Sie für Actions (Aktionen) die Option Modify (Ändern) aus.

    Das Fenster Ändern wird angezeigt.

  6. Wählen Sie für Zugriffskontroll die Option Zugriffskontrollliste für Benutzergruppen aus.

  7. Wählen Sie für Zugriffskontrollliste für Benutzergruppen eine Benutzergruppe aus.

  8. Wählen Sie Änderungen in der Vorschau anzeigen und dann auf dem nächsten Bildschirm Ändern aus.

Gehen Sie wie folgt vor, um mithilfe der CLI von Redis OSS AUTH zu RBAC zu migrieren.

So migrieren Sie mit der CLI von Redis OSS AUTH zu RBAC
  • Geben Sie wie nachfolgend gezeigt den modify-replication-group-Befehl ein.

    Für Linux, macOS oder Unix:

    aws elasticache modify-replication-group --replication-group-id test \ --auth-token-update-strategy DELETE \ --user-group-ids-to-add user-group-1

    Für Windows:

    aws elasticache modify-replication-group --replication-group-id test ^ --auth-token-update-strategy DELETE ^ --user-group-ids-to-add user-group-1

Migration von RBAC zu Redis OSS AUTH

Wenn Sie RBAC verwenden und zu Redis OSS AUTH migrieren möchten, finden Sie weitere Informationen unter. Migration von RBAC zu Redis OSS AUTH

Anmerkung

Wenn Sie die Zugriffskontrolle für einen ElastiCache Cache deaktivieren müssen, müssen Sie dies über den tun. AWS CLI Weitere Informationen finden Sie unter Deaktivieren der Zugriffskontrolle auf einem ElastiCache Redis OSS-Cache.