Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification avec la commande Valkey et Redis OSS AUTH
Note
Le AUTH a été remplacé par. Contrôle d'accès basé sur les rôles (RBAC) Tous les caches sans serveur doivent utiliser le contrôle RBAC pour l’authentification.
Les jetons d'authentification ou mots de passe Valkey et Redis OSS permettent à Valkey et Redis OSS d'exiger un mot de passe avant d'autoriser les clients à exécuter des commandes, améliorant ainsi la sécurité des données. Le AUTH n'est disponible que pour les clusters conçus par vos soins.
Rubriques
Présentation de AUTH ElastiCache pour Valkey et Redis OSS
Lorsque vous utilisez le AUTH avec votre cluster ElastiCache for Valkey et Redis OSS, certaines améliorations sont apportées.
Tenez compte en particulier de ces contraintes liées au jeton AUTH ou au mot de passe lorsque vous utilisez AUTH :
-
Les jetons, ou mots de passe, doivent comporter de 16 à 128 caractères imprimables.
-
Les caractères non alphanumériques sont limités à (!, &, #, $, ^, <, >, -).
-
AUTH ne peut être activé que pour les clusters Valkey ou Redis OSS compatibles avec le chiffrement en transit.
Pour configurer un jeton fort, nous vous recommandons de suivre une stratégie de mot de passe stricte, par exemple en exigeant les éléments suivants :
-
Les jetons ou mots de passe doivent inclure au moins trois des types de caractères suivants :
-
Caractères majuscules
-
Caractères minuscules
-
Chiffres
-
Caractères non alphanumériques (
!,&,#,$,^,<,>,-)
-
-
Les jetons ou mots de passe ne doivent pas contenir un mot du dictionnaire ou un mot du dictionnaire légèrement modifié.
-
Les jetons ou mots de passe ne doivent pas être identiques ou similaires à un jeton récemment utilisé.
Appliquer l'authentification à un cluster ElastiCache pour Valkey et Redis OSS
Vous pouvez demander aux utilisateurs de saisir un jeton (mot de passe) sur un serveur Valkey ou Redis OSS protégé par des jetons. Pour ce faire, incluez le paramètre --auth-token (API : AuthToken) avec le jeton correct lorsque vous créez votre groupe ou cluster de réplication. Incluez-le également dans toutes les commandes suivantes vers le groupe ou le cluster de réplication.
L' AWS CLI opération suivante crée un groupe de réplication avec le chiffrement en transit (TLS) activé et le AUTH jetonThis-is-a-sample-tokensng-test par un groupe de sous-réseaux existant.
Paramètres clés
-
--engine— Ça doit êtrevalkeyouredis. -
--engine-version— Si le moteur est Redis OSS, il doit être 3.2.6, 4.0.10 ou version ultérieure. -
--transit-encryption-enabled: obligatoire pour l'authentification et l'éligibilité HIPAA. -
--auth-token: obligatoire pour l'éligibilité HIPAA. Cette valeur doit être le jeton correct pour ce serveur Valkey ou Redis OSS protégé par des jetons. -
--cache-subnet-group: obligatoire pour l'éligibilité HIPAA.
Pour Linux, macOS ou Unix :
aws elasticache create-replication-group \ --replication-group-idauthtestgroup\ --replication-group-descriptionauthtest\ --engineredis\ --cache-node-typecache.m4.large\ --num-node-groups1\ --replicas-per-node-group2\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token\ --cache-subnet-groupsng-test
Pour Windows :
aws elasticache create-replication-group ^ --replication-group-idauthtestgroup^ --replication-group-descriptionauthtest^ --engineredis^ --cache-node-typecache.m4.large^ --num-node-groups1^ --replicas-per-node-group2^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token^ --cache-subnet-groupsng-test
Modification du jeton AUTH sur un cluster existant
Pour faciliter la mise à jour de votre authentification, vous pouvez modifier le AUTH jeton utilisé sur un cluster. Vous pouvez effectuer cette modification si la version du moteur est Valkey 7.2 ou supérieure ou Redis 5.0.6 ou supérieure. ElastiCache le chiffrement en transit doit également être activé.
La modification du jeton d'authentification prend en charge deux stratégies : ROTATE et SET. La stratégie ROTATE ajoute un jeton AUTH supplémentaire au serveur tout en conservant le jeton précédent. La stratégie SET met à jour le serveur pour qu'il ne prenne en charge qu'un seul jeton AUTH. Effectuez ces appels de modification avec le paramètre --apply-immediately pour appliquer les modifications immédiatement.
Rotation du jeton AUTH
Pour mettre à jour un serveur Valkey ou Redis OSS avec un nouveau jeton AUTH, appelez l'ModifyReplicationGroupAPI avec le --auth-token paramètre comme nouveau AUTH jeton et --auth-token-update-strategy avec la valeur ROTATE. Une fois la modification ROTATE terminée, le cluster prendra en charge le jeton AUTH précédent en plus de celui spécifié dans le auth-token paramètre. Si aucun jeton AUTH n'a été configuré sur le groupe de réplication avant la rotation du jeton AUTH, le cluster prend en charge le jeton AUTH spécifié dans le --auth-token paramètre, en plus de prendre en charge la connexion sans authentification. Voir Définition du jeton AUTH pour mettre à jour le jeton AUTH requis à l'aide de la stratégie de mise à jour SET.
Note
Si vous ne configurez pas le jeton AUTH auparavant, une fois la modification terminée, le cluster ne prendra en charge aucun jeton AUTH en plus de celui spécifié dans le paramètre auth-token.
Si cette modification est effectuée sur un serveur qui prend déjà en charge deux jetons AUTH, le jeton AUTH le plus ancien sera également supprimé lors de cette opération. Cela permet à un serveur de prendre en charge jusqu'à deux jetons AUTH les plus récents à un moment donné.
À ce stade, vous pouvez procéder en mettant à jour le client pour qu'il utilise le dernier jeton AUTH. Une fois les clients mis à jour, vous pouvez utiliser la stratégie SET pour la rotation des jetons AUTH (expliqué dans la section suivante) pour commencer exclusivement à utiliser le nouveau jeton.
L' AWS CLI opération suivante modifie un groupe de réplication pour faire pivoter le AUTH jetonThis-is-the-rotated-token
Pour Linux, macOS ou Unix :
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-rotated-token\ --auth-token-update-strategy ROTATE \ --apply-immediately
Pour Windows :
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-rotated-token^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Définition du jeton AUTH
Pour mettre à jour un serveur Valkey ou Redis OSS afin de prendre en charge un seul AUTH jeton requis, appelez l'opération ModifyReplicationGroup API avec le --auth-token paramètre ayant la même valeur que le dernier jeton AUTH et le --auth-token-update-strategy paramètre avec la valeur. SET La stratégie SET ne peut être utilisée qu'avec un cluster doté de 2 jetons AUTH ou d'un jeton AUTH optionnel issu d'une stratégie ROTATE auparavant. Une fois la modification terminée, le serveur ne prend en charge que le jeton AUTH spécifié dans le paramètre auth-token.
L' AWS CLI opération suivante modifie un groupe de réplication pour attribuer au jeton AUTH la valeur. This-is-the-set-token
Pour Linux, macOS ou Unix :
aws elasticache modify-replication-group \ --replication-group-idauthtestgroup\ --auth-tokenThis-is-the-set-token\ --auth-token-update-strategy SET \ --apply-immediately
Pour Windows :
aws elasticache modify-replication-group ^ --replication-group-idauthtestgroup^ --auth-tokenThis-is-the-set-token^ --auth-token-update-strategy SET ^ --apply-immediately
Activation de l'authentification sur un cluster existant
Pour activer l'authentification sur un serveur Valkey ou Redis OSS existant, appelez l'opération ModifyReplicationGroup API. Appelez ModifyReplicationGroup avec le paramètre --auth-token en tant que nouveau jeton et le paramètre --auth-token-update-strategy avec la valeur ROTATE.
Une fois la modification ROTATE terminée, le cluster prend en charge le AUTH jeton spécifié dans le --auth-token paramètre, en plus de prendre en charge la connexion sans authentification. Une fois que toutes les applications clientes sont mises à jour pour s'authentifier auprès de Valkey ou Redis OSS avec le jeton AUTH, utilisez la stratégie SET pour marquer le jeton AUTH comme requis. L'activation de l'authentification n'est prise en charge que sur les serveurs Valkey et Redis OSS avec le chiffrement en transit (TLS) activé.
Migration de RBAC vers AUTH
Si vous authentifiez des utilisateurs avec Valkey ou Redis OSS Role-Based Access Control (RBAC) comme décrit dansContrôle d'accès basé sur les rôles (RBAC), et que vous souhaitez migrer vers AUTH, suivez les procédures suivantes. Vous pouvez migrer à l'aide de la console ou de la CLI.
Pour migrer de RBAC vers AUTH à l'aide de la console
Connectez-vous à la ElastiCache console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/elasticache/
. -
Dans la liste située dans le coin supérieur droit, choisissez la AWS région dans laquelle se trouve le cluster que vous souhaitez modifier.
-
Dans le volet de navigation, choisissez le moteur s'exécutant sur le cluster que vous voulez modifier.
Une liste de clusters du moteur choisi s'affiche.
-
Dans la liste des clusters, choisissez le nom du cluster que vous souhaitez modifier.
-
Pour Actions, choisissez Modifier.
La fenêtre Modifier apparaît.
-
Pour le contrôle d'accès, choisissez l'accès utilisateur par défaut Valkey AUTH ou l'accès utilisateur par défaut Redis OSS AUTH.
-
Sous le jeton Valkey AUTH ou le jeton Redis OSS AUTH, définissez un nouveau jeton.
-
Choisissez Prévisualiser les modifications, puis Modifier sur l’écran suivant.
Pour migrer de RBAC vers AUTH à l'aide du AWS CLI
Utilisez l'une des commandes suivantes pour configurer un nouveau AUTH jeton facultatif pour votre groupe de réplication Valkey ou Redis OSS. Notez qu'un jeton d'authentification facultatif autorisera un accès non authentifié au groupe de réplication jusqu'à ce que le jeton d'authentification soit marqué comme obligatoire, en utilisant la stratégie SET de mise à jour décrite à l'étape suivante.
Pour Linux, macOS ou Unix :
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Pour Windows :
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
Après avoir exécuté la commande ci-dessus, vous pouvez mettre à jour vos applications Valkey ou Redis OSS pour vous authentifier auprès du groupe de ElastiCache réplication à l'aide du jeton AUTH optionnel nouvellement configuré. Pour terminer la rotation du jeton d'authentification, utilisez la stratégie de mise à jour décrite SET dans la commande suivante ci-dessous. Cela sera marqué sur le jeton AUTH optionnel selon les besoins. Lorsque la mise à jour du jeton d'authentification sera terminée, l'état du groupe de réplication s'affichera comme tel ACTIVE et toutes les connexions à ce groupe de réplication nécessiteront une authentification.
Pour Linux, macOS ou Unix :
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Pour Windows :
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
Pour de plus amples informations, veuillez consulter Authentification avec la commande Valkey et Redis OSS AUTH.
Note
Si vous devez désactiver le contrôle d'accès sur un ElastiCache cluster, consultezDésactivation du contrôle d'accès sur un cache ElastiCache Valkey ou Redis OSS.
