Contrôle d'accès basé sur les rôles (RBAC) - Amazon ElastiCache
Définition des autorisations à l'aide d'une chaîne d'accèsAppliquer RBAC à un cache ElastiCache Valkey ou Redis OSSMigration d'AUTH vers RBACMigration de RBAC vers AUTH

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôle d'accès basé sur les rôles (RBAC)

Au lieu d'authentifier les utilisateurs avec la commande Valkey et Redis OSS AUTH comme décrit dans Valkey 7.2 et versions ultérieures et Redis OSS 6.0 et versions ultérieuresAuthentification avec la commande Valkey et Redis OSS AUTH, vous pouvez utiliser une fonctionnalité appelée contrôle d'accès basé sur les rôles (RBAC). Le RBAC est également le seul moyen de contrôler l’accès aux caches sans serveur.

Contrairement à Valkey et Redis OSS AUTH, où tous les clients authentifiés ont un accès complet au cache si leur jeton est authentifié, le RBAC vous permet de contrôler l'accès au cache par le biais de groupes d'utilisateurs. Ces groupes d’utilisateurs sont conçus comme un moyen d’organiser l’accès aux caches.

Avec RBAC, vous créez des utilisateurs et leur attribuez des autorisations spécifiques à l'aide d'une chaîne d'accès, comme décrit ci-dessous. Vous assignez les utilisateurs à des groupes d'utilisateurs correspondant à un rôle spécifique (administrateurs, ressources humaines) qui sont ensuite déployés dans un ou plusieurs ElastiCache caches. Ce faisant, vous pouvez établir des limites de sécurité entre les clients utilisant le ou les mêmes caches Valkey ou Redis OSS et empêcher les clients d'accéder aux données des autres.

Le RBAC est conçu pour prendre en charge l'introduction de l'ACL dans Redis OSS 6. Lorsque vous utilisez RBAC avec votre cache ElastiCache Valkey ou Redis OSS, certaines limites s'appliquent :

  • Vous ne pouvez pas spécifier de mots de passe dans une chaîne d'accès. Vous définissez des mots de passe avec CreateUserou par ModifyUserappels.

  • Pour les droits d'utilisateur, vous passez on et off dans le cadre de la chaîne d'accès. Si ni l’un ni l’autre n’est spécifié dans la chaîne d’accès, l’utilisateur se voit attribuer off et ne dispose pas de droits d’accès au cache.

  • Vous ne pouvez pas utiliser les commandes interdites et renommées. Si vous spécifiez une commande interdite ou renommée, une exception est émise. Si vous souhaitez utiliser des listes de contrôle d'accès (ACLs) pour une commande renommée, spécifiez le nom d'origine de la commande, c'est-à-dire le nom de la commande avant qu'elle ne soit renommée.

  • Vous ne pouvez pas utiliser la commande reset dans le cadre d'une chaîne d'accès. Vous spécifiez les mots de passe avec les paramètres de l'API, et ElastiCache pour Redis, OSS gère les mots de passe. Par conséquent, vous ne pouvez pas utiliser reset car il supprimerait tous les mots de passe d'un utilisateur.

  • Redis OSS 6 introduit la commande ACL LIST. Cette commande renvoie une liste d'utilisateurs ainsi que les règles ACL appliquées à chaque utilisateur. ElastiCache for Redis OSS prend en charge la ACL LIST commande, mais ne prend pas en charge le hachage des mots de passe comme le fait Redis OSS. ElastiCache Pour Redis OSS, vous pouvez utiliser l'opération describe-users pour obtenir des informations similaires, y compris les règles contenues dans la chaîne d'accès. Toutefois, describe-users ne récupère pas un mot de passe utilisateur.

    Les autres commandes en lecture seule prises en charge par ElastiCache Valkey et Redis OSS incluent ACL WHOAMI, ACL USERS et ACL CAT. ElastiCache pour Valkey et Redis OSS ne prend en charge aucune autre commande ACL basée sur l'écriture.

  • Les contraintes suivantes s'appliquent :

    Ressource Maximum autorisé
    Utilisateurs par groupe d'utilisateurs 100
    Nombre d'utilisateurs 1 000
    Nombre de groupes d'utilisateurs 100

L'utilisation de RBAC avec ElastiCache pour Redis OSS est décrite plus en détail ci-dessous.

Rubriques

Définition des autorisations à l'aide d'une chaîne d'accès

Pour spécifier les autorisations d'accès à un ElastiCache cache Redis OSS, vous créez une chaîne d'accès et vous l'attribuez à un utilisateur en utilisant le AWS CLI ou AWS Management Console.

Les chaînes d'accès sont définies comme une liste de règles délimitées par des espaces qui sont appliquées à l'utilisateur. Elles définissent les commandes qu'un utilisateur peut exécuter et les clés qu'un utilisateur peut utiliser. Pour exécuter une commande, un utilisateur doit avoir accès à la commande en cours d'exécution et à toutes les clés accessibles par la commande. Les règles sont appliquées de gauche à droite de manière cumulative, et une chaîne plus simple peut être utilisée à la place de celle fournie s'il y a des redondances dans la chaîne fournie.

Pour plus d'informations sur la syntaxe des règles de liste ACL, veuillez consulter Listes ACL.

Dans l'exemple suivant, la chaîne d'accès représente un utilisateur actif ayant accès à toutes les clés et commandes disponibles.

on ~* +@all

La syntaxe de la chaîne d'accès se décompose comme suit :

  • on : l'utilisateur est un utilisateur actif.

  • ~* : l'accès est accordé à toutes les clés disponibles.

  • +@all : l'accès est accordé à toutes les commandes disponibles.

Les paramètres précédents sont les moins restrictifs. Vous pouvez modifier ces paramètres pour les rendre plus sécurisés.

Dans l'exemple suivant, la chaîne d'accès représente un utilisateur dont l'accès est restreint à l'accès en lecture sur les clés commençant par un keyspace « app:: »

on ~app::* -@all +@read

Vous pouvez affiner ces autorisations en listant les commandes auxquelles l'utilisateur a accès :

+command1 : l'accès de l'utilisateur aux commandes est limité à command1.

+@category : l'accès de l'utilisateur est limité à une catégorie de commandes.

Pour plus d'informations sur l'attribution d'une chaîne d'accès à un utilisateur, veuillez consulter Création d'utilisateurs et de groupes d'utilisateurs avec la console et la CLI.

Si vous migrez une charge de travail existante vers ElastiCache, vous pouvez récupérer la chaîne d'accès en appelantACL LIST, en excluant l'utilisateur et tout hachage de mot de passe.

Pour Redis OSS version 6.2 et versions ultérieures, la syntaxe de chaîne d'accès suivante est également prise en charge :

  • &* : l'accès est accordé à tous les canaux disponibles.

Pour Redis OSS version 7.0 et supérieure, la syntaxe de chaîne d'accès suivante est également prise en charge :

  • | : peut être utilisé pour bloquer des sous-commandes (par exemple « -config|set »).

  • %R~<pattern> : ajoute le modèle de clé de lecture spécifié. Il se comporte de la même manière que le modèle de clé normal, mais il n'autorise que la lecture à partir de clés correspondant au modèle donné. Pour plus d'informations, consultez key permissions (Autorisations de clés).

  • %W~<pattern> : ajoute le modèle de clé d'écriture spécifié. Il se comporte de la même manière que le modèle de clé normal, mais il n'autorise que l'écriture à partir de clés correspondant au modèle donné. Consultez la section Autorisations relatives aux clés ACL pour plus d'informations.

  • %RW~<pattern> : alias pour ~<pattern>.

  • (<rule list>) : crée un nouveau sélecteur auquel comparer les règles. Les sélecteurs sont évalués en fonction des autorisations utilisateur et de l'ordre dans lequel ils sont définis. Si une commande correspond aux autorisations utilisateur ou à n'importe quel sélecteur, elle est autorisée. Pour plus d'informations, consultez ACL selectors (Sélecteurs ACL).

  • clearselectors : supprime tous les sélecteurs associés à l'utilisateur.

Appliquer le RBAC à un cache ElastiCache pour Valkey ou Redis OSS

ElastiCache Pour l'utiliser pour Valkey ou Redis OSS RBAC, vous devez suivre les étapes suivantes :

  1. Créez un ou plusieurs utilisateurs.

  2. Créez un groupe d'utilisateurs puis ajoutez-y des utilisateurs.

  3. Attribuez le groupe d’utilisateurs à un cache ayant le chiffrement en transit activé.

Ces étapes sont décrites en détail ci-dessous.

Création d'utilisateurs et de groupes d'utilisateurs avec la console et la CLI

Les informations utilisateur pour les utilisateurs RBAC sont un ID utilisateur, un nom d'utilisateur et éventuellement un mot de passe et une chaîne d'accès. La chaîne d'accès fournit le niveau d'autorisation relatif aux clés et commandes. L'ID utilisateur est unique à l'utilisateur, et le nom d'utilisateur est celui qui est transmis au moteur.

Assurez-vous que les autorisations d'utilisateur que vous fournissez correspondent à l'objectif visé du groupe d'utilisateurs. Par exemple, si vous créez un groupe d'utilisateurs appelé Administrators, tout utilisateur que vous ajoutez à ce groupe doit avoir sa chaîne d'accès définie pour un accès complet aux clés et aux commandes. Pour les utilisateurs d'un groupe d'utilisateurs e-commerce, vous pouvez définir leurs chaînes d'accès en lecture seule.

ElastiCache configure automatiquement un utilisateur par défaut avec son ID utilisateur et son nom d'utilisateur "default" et l'ajoute à tous les groupes d'utilisateurs. Vous ne pouvez pas le supprimer ou le modifier. Cet utilisateur est destiné à être compatible avec le comportement par défaut des versions précédentes de Redis OSS et dispose d'une chaîne d'accès qui lui permet d'appeler toutes les commandes et d'accéder à toutes les touches.

Pour ajouter un contrôle d’accès approprié à un cache, remplacez cet utilisateur par défaut par un nouvel utilisateur qui n’est pas activé ou qui utilise un mot de passe fort. Pour modifier l'utilisateur par défaut, créez un nouvel utilisateur avec le nom d'utilisateur défini sur default. Vous pouvez ensuite l'échanger avec l'utilisateur par défaut d'origine.

Les procédures suivantes montrent comment échanger l'utilisateur default d'origine avec un autre utilisateur default qui a une chaîne d'accès modifiée.

Pour modifier l'utilisateur par défaut sur la console

  1. Connectez-vous à la ElastiCache console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elasticache/.

  2. Choisissez Gestion des groupes d’utilisateurs dans le volet de navigation.

  3. Pour ID de groupe d’utilisateurs, choisissez l’ID que vous souhaitez modifier. Assurez-vous de sélectionner le lien et non pas la case à cocher.

  4. Sélectionnez Modifier.

  5. Dans la fenêtre Modifier, choisissez Gérer pour sélectionner l’utilisateur que vous souhaitez utiliser comme utilisateur par défaut avec le Nom d’utilisateur par défaut.

  6. Choisissez Choisir.

  7. Sélectionnez Modifier. Lorsque vous effectuez cette opération, toutes les connexions existantes à un cache que possède l’utilisateur par défaut d’origine sont interrompues.

Pour modifier l'utilisateur par défaut à l'aide du AWS CLI

  1. Créez un utilisateur avec le nom d'utilisateur default à l'aide des commandes suivantes.

    Pour Linux, macOS ou Unix :

    aws elasticache create-user \
 --user-id "new-default-user" \
 --user-name "default" \
 --engine "REDIS" \
 --passwords "a-str0ng-pa))word" \
 --access-string "off +get ~keys*"

    Pour Windows :

    aws elasticache create-user ^
 --user-id "new-default-user" ^
 --user-name "default" ^
 --engine "REDIS" ^
 --passwords "a-str0ng-pa))word" ^
 --access-string "off +get ~keys*"

  2. Créez un groupe d'utilisateurs et ajoutez l'utilisateur que vous avez créé précédemment.

    Pour Linux, macOS ou Unix :

    aws elasticache create-user-group \
  --user-group-id "new-group-2" \
  --engine "REDIS" \
  --user-ids "new-default-user"

    Pour Windows :

    aws elasticache create-user-group ^
  --user-group-id "new-group-2" ^
  --engine "REDIS" ^
  --user-ids "new-default-user"

  3. Échangez le nouvel utilisateur default avec l'utilisateur default d'origine.

    Pour Linux, macOS ou Unix :

    aws elasticache modify-user-group \
    --user-group-id test-group \
    --user-ids-to-add "new-default-user" \
    --user-ids-to-remove "default"

    Pour Windows :

    aws elasticache modify-user-group ^
    --user-group-id test-group ^
    --user-ids-to-add "new-default-user" ^
    --user-ids-to-remove "default"

    Lorsque cette opération de modification est appelée, toutes les connexions existantes à un cache que possède l’utilisateur par défaut d’origine sont interrompues.

Lors de la création d'un utilisateur, vous pouvez configurer jusqu'à deux mots de passe. Lorsque vous modifiez un mot de passe, toutes les connexions existantes aux caches sont maintenues.

Tenez compte en particulier de ces contraintes liées au mot de passe utilisateur lorsque vous utilisez RBAC ElastiCache pour Redis OSS :

  • Les mots de passe doivent comporter de 16 à 128 caractères imprimables.

  • Les caractères non alphanumériques suivants ne sont pas autorisés : , "" / @.

Gestion des utilisateurs avec la console et la CLI

Utilisez la procédure suivante pour gérer les utilisateurs sur la console.

Pour gérer les utilisateurs sur la console

  1. Connectez-vous à la ElastiCache console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elasticache/.

  2. Sur le ElastiCache tableau de bord Amazon, choisissez Gestion des utilisateurs. Les options suivantes sont disponibles :

    • Créer un utilisateur : lors de la création d’un utilisateur, vous entrez un ID utilisateur, un nom d’utilisateur, un mode d’authentification et une chaîne d’accès. La chaîne d'accès définit le niveau d'autorisation accordé à l'utilisateur pour les clés et commandes.

      Lors de la création d'un utilisateur, vous pouvez configurer jusqu'à deux mots de passe. Lorsque vous modifiez un mot de passe, toutes les connexions existantes aux caches sont maintenues.

    • Modifier l’utilisateur : permet de mettre à jour les paramètres d’authentification d’un utilisateur ou de modifier sa chaîne d’accès.

    • Supprimer un utilisateur : le compte sera supprimé de tous les groupes d’utilisateurs auxquels il appartient.

Utilisez les procédures suivantes pour gérer les utilisateurs avec l' AWS CLI.

Pour modifier un utilisateur à l'aide de la CLI

  • Utilisez la commande modify-user pour mettre à jour le mot de passe ou les mots de passe d'un utilisateur ou modifier les autorisations d'accès d'un utilisateur.

    Lorsqu’un utilisateur est modifié, les groupes d’utilisateurs associés à l’utilisateur sont mis à jour, ainsi que les caches associés au groupe d’utilisateurs. Toutes les connexions existantes sont maintenues. Voici quelques exemples.

    Pour Linux, macOS ou Unix :

    aws elasticache modify-user \
  --user-id user-id-1 \
  --access-string "~objects:* ~items:* ~public:*" \
  --no-password-required

    Pour Windows :

    aws elasticache modify-user ^
  --user-id user-id-1 ^
  --access-string "~objects:* ~items:* ~public:*" ^
  --no-password-required
Note

Nous vous déconseillons d'utiliser l'option nopass. Si vous le faites, nous vous recommandons de définir les autorisations de l'utilisateur en lecture seule avec accès à un ensemble limité de clés.

Pour supprimer un utilisateur à l'aide de la CLI

  • Utilisez la commande delete-user pour supprimer un utilisateur. Le compte est supprimé et retiré des groupes d'utilisateurs auxquels il appartient. Voici un exemple.

    Pour Linux, macOS ou Unix :

    aws elasticache delete-user \
  --user-id user-id-2

    Pour Windows :

    aws elasticache delete-user ^
  --user-id user-id-2

Pour afficher une liste des utilisateurs, appelez l'opération describe-users. 

aws elasticache describe-users

Gestion des groupes d'utilisateurs avec la console et la CLI

Vous pouvez créer des groupes d’utilisateurs pour organiser et contrôler l’accès des utilisateurs à un ou plusieurs caches, comme indiqué ci-dessous.

Utilisez la procédure suivante pour gérer des groupes d'utilisateurs à l'aide de la console.

Pour gérer les groupes d'utilisateurs à l'aide de la console

  1. Connectez-vous à la ElastiCache console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elasticache/.

  2. Sur le ElastiCache tableau de bord Amazon, choisissez User group management.

    Les opérations suivantes sont disponibles pour créer de nouveaux groupes d'utilisateurs :

    • Créer : lorsque vous créez un groupe d’utilisateurs, vous ajoutez des utilisateurs, puis affectez les groupes d’utilisateurs à des caches. Par exemple, vous pouvez créer un groupe d’utilisateurs Admin pour les utilisateurs qui ont des rôles d’administration sur un cache.

      Important

      Lorsque vous créez un groupe d’utilisateurs, vous devez inclure l’utilisateur par défaut.

    • Add Users (Ajouter des utilisateurs) : ajoute des utilisateurs au groupe d'utilisateurs.

    • Remove Users (Supprimer des utilisateurs) : supprime des utilisateurs du groupe d'utilisateurs. Lorsque des utilisateurs sont supprimés d’un groupe d’utilisateurs, toutes les connexions existantes qu’ils ont à un cache sont interrompues.

    • Delete (Supprimer) : utilisez cette option pour supprimer un groupe d'utilisateurs. Notez que le groupe d'utilisateurs lui-même, et non les utilisateurs appartenant au groupe, sera supprimé.

    Pour les groupes d'utilisateurs existants, procédez comme suit :

    • Add Users (Ajouter des utilisateurs) : ajoute des utilisateurs existants au groupe d'utilisateurs.

    • Delete Users (Supprimer des utilisateurs) : supprime les utilisateurs existants du groupe d'utilisateurs.

      Note

      Les utilisateurs sont supprimés du groupe d'utilisateurs, mais pas supprimés du système.

Utilisez les procédures suivantes pour gérer des groupes d'utilisateurs à l'aide de la CLI.

Pour créer un groupe d'utilisateurs et ajouter un utilisateur à l'aide de la CLI

  • Utilisez la commande create-user-group, comme illustré ci-dessous.

    Pour Linux, macOS ou Unix :

    aws elasticache create-user-group \
  --user-group-id "new-group-1" \
  --engine "REDIS" \
  --user-ids user-id-1, user-id-2

    Pour Windows :

    aws elasticache create-user-group ^
  --user-group-id "new-group-1" ^
  --engine "REDIS" ^
  --user-ids user-id-1, user-id-2
Pour modifier un groupe d'utilisateurs en ajoutant de nouveaux utilisateurs ou en supprimant des membres actuels à l'aide de la CLI

  • Utilisez la commande modify-user-group, comme illustré ci-dessous.

    Pour Linux, macOS ou Unix :

    aws elasticache modify-user-group --user-group-id new-group-1 \
--user-ids-to-add user-id-3 \
--user-ids-to-remove user-id-2

    Pour Windows :

    aws elasticache modify-user-group --user-group-id new-group-1 ^
--user-ids-to-add userid-3 ^
--user-ids-to-removere user-id-2
Note

Toutes les connexions ouvertes appartenant à un utilisateur supprimé d'un groupe d'utilisateurs sont interrompues par cette commande.

Pour supprimer un groupe d'utilisateurs à l'aide de la CLI

  • Utilisez la commande delete-user-group, comme illustré ci-dessous. Le groupe d'utilisateurs lui-même, et non les utilisateurs appartenant au groupe, est supprimé.

    Pour Linux, macOS ou Unix :

    aws elasticache delete-user-group /
   --user-group-id

    Pour Windows :

    aws elasticache delete-user-group ^
   --user-group-id

Pour voir la liste des groupes d'utilisateurs, vous pouvez appeler l'describe-user-groupsopération.

aws elasticache describe-user-groups \
  --user-group-id test-group

Attribution de groupes d’utilisateurs à des caches sans serveur

Après avoir créé un groupe d’utilisateurs et ajouté des utilisateurs, la dernière étape de la mise en œuvre du RBAC consiste à attribuer le groupe d’utilisateurs à un cache sans serveur.

Attribution de groupes d’utilisateurs à des caches sans serveur à l’aide de la console

Pour ajouter un groupe d'utilisateurs à un cache sans serveur à l'aide du AWS Management Console, procédez comme suit :

Affectation de groupes d'utilisateurs à des caches sans serveur à l'aide du AWS CLI

L' AWS CLI opération suivante crée un cache sans serveur en utilisant le user-group-id paramètre avec la valeurmy-user-group-id. Remplacez le groupe de sous-réseaux sng-test par un groupe de sous-réseaux existant.

Paramètres clés

  • --engine— Ça doit être valkey ouredis.

  • --user-group-id : cette valeur fournit l’ID du groupe d’utilisateurs comprenant les utilisateurs disposant d’autorisations d’accès spécifiées pour le cache.

Pour Linux, macOS ou Unix :

aws elasticache create-serverless-cache \
    --serverless-cache-name "new-serverless-cache" \
    --description "new-serverless-cache" \
    --engine "redis" \
    --user-group-id "new-group-1"

Pour Windows :

aws elasticache create-serverless-cache ^
    --serverless-cache-name "new-serverless-cache" ^
    --description "new-serverless-cache" ^
    --engine "redis" ^
    --user-group-id "new-group-1"

L' AWS CLI opération suivante modifie un cache sans serveur avec le user-group-id paramètre associé à la valeur. my-user-group-id

Pour Linux, macOS ou Unix :

aws elasticache modify-serverless-cache \
    --serverless-cache-name serverless-cache-1 \
    --user-group-id "new-group-2"

Pour Windows :

aws elasticache modify-serverless-cache ^
    --serverless-cache-name serverless-cache-1 ^
    --user-group-id "new-group-2"

Notez que les modifications apportées à un cache sont mises à jour de manière asynchrone. Vous pouvez surveiller cette progression en consultant les événements. Pour de plus amples informations, veuillez consulter Affichage des ElastiCache événements.

Attribution de groupes d'utilisateurs à des groupes de réplication

Après avoir créé un groupe d'utilisateurs et ajouté des utilisateurs, la dernière étape de la mise en œuvre de RBAC consiste à attribuer le groupe d'utilisateurs à un groupe de réplication.

Attribution de groupes d'utilisateurs à des groupes de réplication à l'aide de la console

Pour ajouter un groupe d'utilisateurs à une réplication à l'aide du AWS Management Console, procédez comme suit :

Affectation de groupes d'utilisateurs à des groupes de réplication à l'aide du AWS CLI

L' AWS CLI opération suivante crée un groupe de réplication avec le chiffrement en transit (TLS) activé et le user-group-ids paramètre avec la valeurmy-user-group-id. Remplacez le groupe de sous-réseaux sng-test par un groupe de sous-réseaux existant.

Paramètres clés

  • --engine— Ça doit être valkey ouredis.

  • --engine-version : doit être la version 6.0 ou ultérieure.

  • --transit-encryption-enabled : obligatoire pour l'authentification et l'association d'un groupe d'utilisateurs.

  • --user-group-ids : cette valeur fournit l’ID du groupe d’utilisateurs comprenant les utilisateurs disposant d’autorisations d’accès spécifiées pour le cache.

  • --cache-subnet-group : obligatoire pour associer un groupe d'utilisateurs.

Pour Linux, macOS ou Unix :

aws elasticache create-replication-group \
    --replication-group-id "new-replication-group" \
    --replication-group-description "new-replication-group" \
    --engine "redis" \
    --cache-node-type cache.m5.large \
    --transit-encryption-enabled \
    --user-group-ids "new-group-1" \
    --cache-subnet-group "cache-subnet-group"

Pour Windows :

aws elasticache create-replication-group ^
    --replication-group-id "new-replication-group" ^
    --replication-group-description "new-replication-group" ^
    --engine "redis" ^
    --cache-node-type cache.m5.large ^
    --transit-encryption-enabled ^
    --user-group-ids "new-group-1" ^
    --cache-subnet-group "cache-subnet-group"

L' AWS CLI opération suivante modifie un groupe de réplication avec le chiffrement en transit (TLS) activé et le user-group-ids paramètre avec la valeur. my-user-group-id

Pour Linux, macOS ou Unix :

aws elasticache modify-replication-group \
    --replication-group-id replication-group-1 \
    --user-group-ids-to-remove "new-group-1" \
    --user-group-ids-to-add "new-group-2"

Pour Windows :

aws elasticache modify-replication-group ^
    --replication-group-id replication-group-1 ^
    --user-group-ids-to-remove "new-group-1" ^
    --user-group-ids-to-add "new-group-2"

Notez le PendingChanges dans la réponse. Toutes les modifications apportées à un cache sont mises à jour de manière asynchrone. Vous pouvez surveiller cette progression en consultant les événements. Pour de plus amples informations, veuillez consulter Affichage des ElastiCache événements.

Migration d'AUTH vers RBAC

Si vous utilisez AUTH comme décrit dans Authentification avec la commande Valkey et Redis OSS AUTH et que vous souhaitez migrer vers le RBAC, suivez les procédures suivantes.

Utilisez la procédure suivante pour migrer d'AUTH vers RBAC à l'aide de la console.

Pour migrer de Valkey ou Redis OSS AUTH vers RBAC à l'aide de la console

  1. Connectez-vous à la ElastiCache console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elasticache/.

  2. Dans la liste située dans le coin supérieur droit, choisissez la AWS région dans laquelle se trouve le cache que vous souhaitez modifier.

  3. Dans le volet de navigation, choisissez le moteur qui s'exécute sur le cache que vous souhaitez modifier.

    La liste des caches pour le moteur choisi s’affiche.

  4. Dans la liste des caches, choisissez le nom du cache que vous souhaitez modifier.

  5. Pour Actions, choisissez Modifier.

    La fenêtre Modifier apparaît.

  6. Pour Contrôle d’accès, choisissez Liste de contrôle d’accès de groupe d’utilisateurs.

  7. Pour Liste de contrôle d’accès de groupe d’utilisateurs, choisissez un groupe d’utilisateurs.

  8. Choisissez Prévisualiser les modifications, puis Modifier sur l’écran suivant.

Utilisez la procédure suivante pour migrer de Valkey ou Redis OSS AUTH vers RBAC à l'aide de la CLI.

Pour migrer d'AUTH vers RBAC à l'aide de la CLI

  • Utilisez la commande modify-replication-group, comme illustré ci-dessous.

    Pour Linux, macOS ou Unix :

      
aws elasticache modify-replication-group --replication-group-id test \
    --auth-token-update-strategy DELETE \
    --user-group-ids-to-add user-group-1

    Pour Windows :

      
aws elasticache modify-replication-group --replication-group-id test ^
    --auth-token-update-strategy DELETE ^
    --user-group-ids-to-add user-group-1

Migration de RBAC vers AUTH

Si vous utilisez RBAC et souhaitez migrer vers Redis OSS AUTH, consultez. Migration de RBAC vers AUTH

Note

Si vous devez désactiver le contrôle d'accès à un ElastiCache cache, vous devez le faire via le AWS CLI. Pour de plus amples informations, veuillez consulter Désactivation du contrôle d'accès sur un cache ElastiCache Valkey ou Redis OSS.