Autenticación con el comando Valkey y Redis OSS AUTH - Amazon ElastiCache
Información general de AUTHAplicación de la autenticaciónModificar AUTH en un servidor existenteMigración de a RBAC AUTH

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación con el comando Valkey y Redis OSS AUTH

nota

El AUTH ha sido reemplazado por. Control de acceso basado en roles () RBAC Todas las cachés sin servidor se deben usar para la autenticación. RBAC

Los identificadores o contraseñas de OSS autenticación de Valkey y Redis permiten OSS a Valkey y Redis solicitar una contraseña antes de permitir que los clientes ejecuten comandos, lo que mejora la seguridad de los datos. AUTHEstá disponible solo para clústeres de diseño propio.

Descripción general de AUTH In ElastiCache with Valkey y Redis OSS

Cuando lo usa AUTH ElastiCache con su OSS clúster de Valkey o Redis, hay algunas mejoras.

En particular, tenga en cuenta estas restricciones de AUTH token o contraseña cuando utilice: AUTH

  • Los tokens o contraseñas, deben tener entre 16 y 128 caracteres imprimibles.

  • Los caracteres no alfanuméricos están restringidos a (!, &, #, $, ^, <, >, -).

  • AUTHsolo se puede habilitar para el cifrado en tránsito habilitado ElastiCache con clústeres de Valkey o OSS Redis.

Para configurar un token seguro, recomendamos que siga una política de contraseña estricta, como las que exigen las siguientes condiciones:

  • Los tokens o contraseñas deben incluir al menos tres de los siguientes tipos de caracteres:

    • Caracteres en mayúsculas

    • Caracteres en minúsculas

    • Dígitos

    • Caracteres no alfanuméricos (!, &, #, $, ^, <, >, -)

  • Los identificadores o contraseñas no deben contener una palabra del diccionario ni una palabra del diccionario ligeramente modificada.

  • Los identificadores o contraseñas no deben ser iguales o similares a los identificadores usados recientemente.

Aplicar la autenticación a un clúster ElastiCache con Valkey o Redis OSS

Puede exigir a los usuarios que introduzcan un token (contraseña) en un servidor Valkey o Redis protegido por un token. OSS Para ello, incluya el parámetro --auth-token (API:AuthToken) en el token correcto al crear el grupo o clúster de replicación. Inclúyalo también en todos los comandos posteriores para el clúster o grupo de reproducción.

La siguiente AWS CLI operación crea un grupo de replicación con el cifrado en tránsito (TLS) activado y el AUTH tokenThis-is-a-sample-token. Reemplace el grupo de subredes sng-test por otro existente.

Parámetros clave

  • --engine— Debe ser valkey oredis.

  • --engine-version— Si el motor es RedisOSS, debe ser 3.2.6, 4.0.10 o posterior.

  • --transit-encryption-enabled— Necesario para la autenticación y la elegibilidad. HIPAA

  • --auth-token— Necesario para HIPAA cumplir los requisitos. Este valor debe ser el token correcto para este servidor Valkey o Redis protegido por un token. OSS

  • --cache-subnet-group— Necesario para cumplir los requisitos. HIPAA

Para Linux, macOS o Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Para Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modificar el AUTH token en un clúster existente

Para facilitar la actualización de la autenticación, puede modificar el AUTH token utilizado en un clúster. Puede realizar esta modificación si la versión del motor es Valkey 7.2 o superior o Redis 5.0.6 o superior. ElastiCache también debe tener activado el cifrado en tránsito.

La modificación del token de autenticación admite dos estrategias: ROTATE ySET. La ROTATE estrategia agrega un AUTH token adicional al servidor y conserva el token anterior. La SET estrategia actualiza el servidor para que solo admita un AUTH token. Realice estas llamadas de modificación con el parámetro --apply-immediately para aplicar los cambios de inmediato.

Rotación del AUTH token

Para actualizar un OSS servidor Valkey o Redis con un nuevo AUTHtoken, llame al ModifyReplicationGroup API con el --auth-token parámetro como nuevo AUTH token y al --auth-token-update-strategy con el valor. ROTATE Una vez completada la ROTATE modificación, el clúster admitirá el AUTH token anterior además del especificado en el auth-token parámetro. Si no se configuró ningún AUTH token en el grupo de replicación antes de la rotación del AUTH token, el clúster admite el AUTH token especificado en el --auth-token parámetro, además de admitir la conexión sin autenticación. Consulte Configurar el token AUTH para actualizar el AUTH token que sea necesario mediante una estrategia de actualizaciónSET.

nota

Si no configuró el AUTH token antes, cuando se complete la modificación, el clúster no admitirá ningún AUTH token además del especificado en el parámetro auth-token.

Si esta modificación se realiza en un servidor que ya admite dos AUTH tokens, el AUTH token más antiguo también se eliminará durante esta operación. Esto permite que un servidor admita hasta los dos AUTH tokens más recientes a la vez.

En este punto, puede continuar actualizando el cliente para que utilice el último AUTH token. Una vez actualizados los clientes, puedes usar la SET estrategia de rotación de AUTH fichas (explicada en la siguiente sección) para empezar a usar exclusivamente el nuevo token.

La siguiente AWS CLI operación modifica un grupo de replicación para rotar el AUTH tokenThis-is-the-rotated-token.

Para Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Configurar el token AUTH

Para actualizar un OSS servidor Valkey o Redis para que admita un único AUTH token obligatorio, llame a la ModifyReplicationGroup API operación con el --auth-token parámetro con el mismo valor que el último AUTH token y al --auth-token-update-strategy parámetro con ese valor. SET La SET estrategia solo se puede usar con un clúster que tenga 2 AUTH tokens o 1 AUTH token opcional si se utilizó una ROTATE estrategia anterior. Una vez completada la modificación, el servidor solo admite el AUTH token especificado en el parámetro auth-token.

La siguiente AWS CLI operación modifica un grupo de replicación en el que se establece el AUTH token. This-is-the-set-token

Para Linux, macOS o Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Habilitar la autenticación en un clúster existente

Para habilitar la autenticación en un OSS servidor Valkey o Redis existente, llame a la ModifyReplicationGroup API operación. Llame ModifyReplicationGroup con el --auth-token parámetro como nuevo token y --auth-token-update-strategy con el valor. ROTATE

Una vez completada la ROTATE modificación, el clúster admite el AUTH token especificado en el --auth-token parámetro, además de admitir la conexión sin autenticación. Una vez que se hayan actualizado todas las aplicaciones cliente para autenticarse en Valkey o Redis OSS con el AUTH token, utilice la SET estrategia para marcar el AUTH token según sea necesario. La activación de la autenticación solo se admite en los OSS servidores Valkey y Redis con el cifrado en tránsito () activado. TLS

Migración de a RBAC AUTH

Si va a autenticar a los usuarios con el control de acceso OSS basado en roles (RBAC) de Valkey o Redis, tal como se describe enControl de acceso basado en roles () RBAC, y desea migrar aAUTH, utilice los siguientes procedimientos. Puede migrar mediante la consola o. CLI

Para migrar de RBAC a AUTH usar la consola

  1. Inicie sesión en AWS Management Console y abra la ElastiCache consola en https://console.aws.amazon.com/elasticache/.

  2. En la lista de la esquina superior derecha, elija la AWS región en la que se encuentra el clúster que desea modificar.

  3. En el panel de navegación, elija el motor que se ejecuta en el clúster que desea modificar.

    Se mostrará una lista de los clústeres del motor elegido.

  4. En la lista de clústeres, para el clúster que desea modificar, elija su nombre.

  5. Para Actions (Acciones), elija Modify (Modificar).

    Aparecerá la ventana Modificar.

  6. Para el control de acceso, elija el acceso de usuario AUTH predeterminado de Valkey o el acceso de usuario predeterminado de Redis OSS AUTH.

  7. En Token de Valkey o AUTH token de Redis, establece un OSS AUTH token nuevo.

  8. Seleccione Vista previa de los cambios y seleccione Modificar en la siguiente pantalla.

Para migrar de RBAC a usar el AUTH AWS CLI

Utilice uno de los siguientes comandos para configurar un nuevo AUTH token opcional para su grupo de OSS replicación de Valkey o Redis. Tenga en cuenta que un token de autenticación opcional permitirá el acceso no autenticado al grupo de replicación hasta que el token de autenticación se marque como obligatorio, siguiendo la estrategia de actualización que se describe en el siguiente paso. SET

Para Linux, macOS o Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Tras ejecutar el comando anterior, puede actualizar sus OSS aplicaciones de Valkey o Redis para que se autentiquen en el grupo de ElastiCache replicación mediante el token opcional recién configurado. AUTH Para completar la rotación del token de autenticación, utilice la estrategia de actualización del siguiente comando que aparece a SET continuación. Esto marcará el AUTH token opcional como obligatorio. Cuando se complete la actualización del token de autenticación, el estado del grupo de replicación aparecerá como ACTIVE y todas las conexiones a este grupo de replicación requerirán autenticación.

Para Linux, macOS o Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Para obtener más información, consulte Autenticación con el comando Valkey y Redis OSS AUTH.

nota

Si necesita deshabilitar el control de acceso en un ElastiCache clúster, consulteDeshabilitar el control de acceso en una caché de ElastiCache Valkey o Redis OSS.