Información general de AUTH Aplicación de la autenticación Modificación de AUTH en un servidor existente Migración de RBAC a AUTH

Autenticación con el comando AUTH de Valkey o Redis OSS

nota

AUTH se ha reemplazado por Control de acceso basado en roles (RBAC). Todas las cachés sin servidor deben usar RBAC para la autenticación.

Las contraseñas o tokens de autenticación de Valkey y Redis OSS permiten a Valkey y Redis OSS exigir una contraseña para que los clientes puedan ejecutar comandos, lo que mejora la seguridad de los datos. AUTH solo está disponible para clústeres de autodiseño.

Temas

Descripción general de AUTH en Valkey y Redis ElastiCache OSS
Aplicar la autenticación a un clúster OSS ElastiCache para Valkey y Redis
Modificación del token de AUTH en un clúster existente
Migración de RBAC a AUTH

Descripción general de AUTH en Valkey y Redis ElastiCache OSS

Cuando lo usa AUTH con su clúster OSS ElastiCache para Valkey y Redis, hay algunas mejoras.

En concreto, tenga en cuenta estas restricciones de los tokens o contraseñas de AUTH al utilizar AUTH:

Los tokens o contraseñas, deben tener entre 16 y 128 caracteres imprimibles.
Los caracteres no alfanuméricos están restringidos a (!, &, #, $, ^, <, >, -).
La autenticación solo se puede habilitar para el cifrado en tránsito de clústeres OSS de Valkey o Redis habilitados para el cifrado.

Para configurar un token seguro, recomendamos que siga una política de contraseña estricta, como las que exigen las siguientes condiciones:

Los tokens o contraseñas deben incluir al menos tres de los siguientes tipos de caracteres:
- Caracteres en mayúsculas
- Caracteres en minúsculas
- Dígitos
- Caracteres no alfanuméricos (!, &, #, $, ^, <, >, -)
Los tokens o contraseñas no deben contener una palabra del diccionario ni una palabra del diccionario modificada ligeramente.
Los tokens o contraseñas no deben ser iguales ni similares a un token que se haya utilizado recientemente.

Aplicar la autenticación a un clúster OSS ElastiCache para Valkey y Redis

Puede exigir a los usuarios que introduzcan un token (contraseña) en un servidor de Valkey o Redis OSS protegido mediante token. Para ello, incluya el parámetro --auth-token (API: AuthToken) con el token correcto al crear el clúster o grupo de reproducción. Inclúyalo también en todos los comandos posteriores para el clúster o grupo de reproducción.

La siguiente AWS CLI operación crea un grupo de replicación con el cifrado en tránsito (TLS) habilitado y el token. AUTH This-is-a-sample-token Reemplace el grupo de subredes sng-test por otro existente.

Parámetros clave

--engine: debe ser valkey o redis.
--engine-version: si el motor es Redis OSS, debe ser la versión 3.2.6, 4.0.10 o una posterior.
--transit-encryption-enabled: obligatorio para la autenticación y elegibilidad para la HIPAA.
--auth-token: obligatorio para la conformidad con la HIPAA. Este valor deber ser el token correcto de este servidor de Valkey o Redis OSS protegido mediante token.
--cache-subnet-group: obligatorio para la conformidad con la HIPAA.

Para Linux, macOS o Unix:


aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Para Windows:


aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modificación del token de AUTH en un clúster existente

Para facilitar la actualización de la autenticación, puede modificar el token de AUTH utilizado en un clúster. Puede realizar esta modificación si la versión del motor es Valkey 7.2 o superior o Redis 5.0.6 o superior. ElastiCache también debe tener activado el cifrado en tránsito.

La modificación del token de AUTH admite dos estrategias: ROTATE y SET. La estrategia ROTATE añade un token de AUTH adicional al servidor a la vez que se retiene el token anterior. La estrategia SET actualiza el servidor para que admita un único token de AUTH. Realice estas llamadas de modificación con el parámetro --apply-immediately para aplicar los cambios de inmediato.

Rotación del token AUTH

Para actualizar un servidor de Valkey o Redis OSS con un nuevo token de AUTH, llame a la API de ModifyReplicationGroup con el parámetro --auth-token como nuevo token de AUTH y --auth-token-update-strategy con el valor ROTATE. Una vez que finaliza la modificación de ROTATE, el clúster admitirá el token de AUTH anterior además del especificado en el parámetro auth-token. Si no se configuró ningún token de AUTH en el grupo de replicación antes de la rotación del token de AUTH, el clúster admite el token de AUTH especificado en el parámetro --auth-token, además de la conexión sin autenticación. Consulte Configuración del token AUTH para actualizar el token de AUTH que se va a exigir mediante la estrategia de actualización SET.

nota

Si no configura el token AUTH antes, una vez completada la modificación, el clúster no admitirá ningún token AUTH además del especificado en el parámetro auth-token.

Si esta modificación se realiza en un servidor que ya admite dos tokens de AUTH, el token de AUTH más antiguo también se eliminará durante esta operación. Esto permite que un servidor admita hasta los dos token de AUTH más recientes en un momento determinado.

En este momento, puede continuar con la actualización del cliente para que utilice el último token de AUTH. Una vez que se actualizan los clientes, puede utilizar la estrategia SET para la rotación del token AUTH (que se explica en la sección siguiente) a fin de comenzar a utilizar en exclusiva el token nuevo.

La siguiente AWS CLI operación modifica un grupo de replicación para rotar el AUTH tokenThis-is-the-rotated-token.

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Configuración del token AUTH

Para actualizar un servidor de Valkey o Redis OSS para que admita un único token de AUTH obligatorio, llame a la operación de la API ModifyReplicationGroup con el parámetro --auth-token con el mismo valor que el último token de AUTH y el parámetro --auth-token-update-strategy con el valor SET. La estrategia SET solo se puede usar con un clúster que tenga dos token de AUTH o un token de AUTH opcional debido al uso anterior de una estrategia ROTATE. Una vez finalizada la modificación, el servidor solo admite el token de AUTH especificado en el parámetro auth-token.

La siguiente AWS CLI operación modifica un grupo de replicación en el que se establece el token AUTH. This-is-the-set-token

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Habilitación de la autenticación en un clúster existente

Para habilitar la autenticación en un servidor de Valkey o Redis OSS existente, llame a la operación de la API ModifyReplicationGroup. Llame a ModifyReplicationGroup con el parámetro --auth-token como el nuevo token y --auth-token-update-strategy con el valor ROTATE.

Tras finalizar la modificación de ROTATE, el clúster admite el token de AUTH especificado en el parámetro --auth-token además de la conexión sin autenticación. Una vez que todas las aplicaciones cliente estén actualizadas para autenticarse en Valkey o Redis OSS con el token de AUTH, utilice la estrategia SET para marcar el token de AUTH como obligatorio. La habilitación de la autenticación solo se admite en servidores de Valkey y Redis OSS con el cifrado en tránsito (TLS) habilitado.

Migración de RBAC a AUTH

Si está autenticando usuarios con el control de acceso basado en roles (RBAC) de Valkey o Redis OSS, tal y como se describe en Control de acceso basado en roles (RBAC), y desea migrar a AUTH, utilice los siguientes procedimientos. Puede migrar mediante la consola o la CLI.

Migración desde RBAC a AUTH mediante la consola

Inicie sesión en AWS Management Console y abra la ElastiCache consola en. https://console.aws.amazon.com/elasticache/
En la lista de la esquina superior derecha, elija la AWS región en la que se encuentra el clúster que desea modificar.
En el panel de navegación, elija el motor que se ejecuta en el clúster que desea modificar.

Se mostrará una lista de los clústeres del motor elegido.
En la lista de clústeres, para el clúster que desea modificar, elija su nombre.
Para Actions (Acciones), elija Modify (Modificar).

Aparecerá la ventana Modificar.
En Control de acceso, elija Acceso de usuario predeterminado de AUTH de Valkey o Acceso de usuario predeterminado de AUTH de Redis OSS.
En Token de AUTH de Valkey o Token de AUTH de Redis OSS, defina un nuevo token.
Seleccione Vista previa de los cambios y seleccione Modificar en la siguiente pantalla.

Para migrar de RBAC a AUTH mediante AWS CLI

Utilice uno de los siguientes comandos para configurar un nuevo token de AUTH opcional para su grupo de replicación de Valkey o Redis OSS. Tenga en cuenta que un token de autenticación opcional permitirá el acceso no autenticado al grupo de replicación hasta que el token de autenticación se marque como obligatorio, de acuerdo con la estrategia de actualización SET que se describe en el siguiente paso.

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Tras ejecutar el comando anterior, puede actualizar sus aplicaciones OSS de Valkey o Redis para que se autentiquen en el grupo de ElastiCache replicación mediante el token AUTH opcional recién configurado. Para completar la rotación del token de autenticación, utilice la estrategia de actualización SET en el siguiente comando. De esta forma, el token de AUTH opcional se marcará como obligatorio. Cuando se complete la actualización del token de autenticación, el estado del grupo de replicación aparecerá como ACTIVE y todas las conexiones a este grupo de replicación requerirán autenticación.

Para Linux, macOS o Unix:


aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Para Windows:


aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Para obtener más información, consulte Autenticación con el comando AUTH de Valkey o Redis OSS.

nota

Si necesita deshabilitar el control de acceso en un ElastiCache clúster, consulte. Deshabilitar el control de acceso en una caché OSS de ElastiCache Valkey o Redis

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Autenticación con IAM

Deshabilitar el control de acceso en una caché OSS de ElastiCache Valkey o Redis