Mengautentikasi dengan perintah Redis OSS AUTH - Amazon ElastiCache (Redis) OSS
Gambaran umum AUTHMenerapkan autentikasiMengubah AUTH pada server yang adaBermigrasi dari RBAC ke Redis OSS AUTH

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengautentikasi dengan perintah Redis OSS AUTH

catatan

Redis OSS AUTH telah digantikan oleh. Kontrol Akses Berbasis Peran (RBAC) Semua cache nirserver harus menggunakan RBAC untuk autentikasi.

Token atau kata sandi otentikasi Redis OSS memungkinkan Redis OSS memerlukan kata sandi sebelum mengizinkan klien menjalankan perintah, sehingga meningkatkan keamanan data. Redis OSS hanya AUTH tersedia untuk cluster yang dirancang sendiri.

Ikhtisar AUTH di ElastiCache (Redis OSS)

Saat Anda menggunakan Redis OSS AUTH dengan cluster ElastiCache (Redis OSS) Anda, ada beberapa penyempurnaan.

Secara khusus, perhatikan kendala token atau kata sandi AUTH ini saat menggunakan AUTH dengan ElastiCache (Redis OSS):

  • Token, atau kata sandi, harus berisi 16–128 karakter yang dapat dicetak.

  • Karakter non-alfanumerik yang diizinkan adalah (!, &, #, $, ^, <, >, -).

  • AUTH hanya dapat diaktifkan untuk cluster enkripsi in-transit enabled ElastiCache (Redis OSS).

Untuk menyiapkan token yang kuat, sebaiknya ikuti kebijakan kata sandi yang ketat, seperti yang mewajibkan hal berikut:

  • Token atau kata sandi harus mencakup setidaknya tiga dari jenis karakter berikut:

    • Karakter huruf besar

    • Karakter huruf kecil

    • Angka

    • Karakter non-alfanumerik (!, &, #, $, ^, <, >, -)

  • Token atau kata sandi tidak boleh mengandung kata kamus atau kata kamus yang sedikit dimodifikasi.

  • Token atau kata sandi tidak boleh sama dengan atau mirip dengan token yang baru digunakan.

Menerapkan otentikasi ke cluster ElastiCache (Redis OSS)

Anda dapat meminta pengguna memasukkan token (kata sandi) pada server Redis OSS yang dilindungi token. Untuk melakukannya, sertakan parameter --auth-token (API: AuthToken) dengan token yang tepat ketika Anda membuat grup replikasi atau klaster Anda. Sertakan juga ke dalamnya semua perintah berikutnya untuk grup replikasi atau klaster.

AWS CLI Operasi berikut membuat grup replikasi dengan enkripsi dalam transit (TLS) diaktifkan dan token. AUTH This-is-a-sample-token Ganti grup subnet sng-test dengan grup subnet yang ada.

Parameter Kunci

  • --engine – Harus redis.

  • --engine-version – Harus 3.2.6, 4.0.10, atau yang lebih baru.

  • --transit-encryption-enabled – Wajib untuk autentikasi dan kelayakan HIPAA.

  • --auth-token – Wajib untuk kelayakan HIPAA. Nilai ini harus menjadi token yang benar untuk server Redis OSS yang dilindungi token ini.

  • --cache-subnet-group – Wajib untuk kelayakan HIPAA.

Untuk Linux, macOS, atau Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Untuk Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Memodifikasi token AUTH pada cluster ElastiCache (Redis OSS) yang ada

Untuk mempermudah memperbarui otentikasi Anda, Anda dapat memodifikasi AUTH token yang digunakan pada klaster ElastiCache (Redis OSS). Anda dapat membuat modifikasi ini jika versi mesin 5.0.6 atau lebih tinggi dan jika ElastiCache (Redis OSS) mengaktifkan enkripsi saat transit.

Mengubah token auth mendukung dua strategi: ROTATE dan SET. Strategi ROTATE menambahkan token AUTH tambahan ke server sambil mempertahankan token sebelumnya. Strategi SET memperbarui server untuk mendukung hanya satu token AUTH. Buat panggilan perubahan ini dengan parameter --apply-immediately untuk menerapkan perubahan dengan segera.

Merotasi token AUTH

Untuk memperbarui server Redis OSS dengan token AUTH baru, panggil ModifyReplicationGroup API dengan --auth-token parameter sebagai AUTH token baru dan --auth-token-update-strategy dengan nilai ROTATE. Setelah modifikasi ROTATE selesai, cluster akan mendukung token AUTH sebelumnya selain yang ditentukan dalam auth-token parameter. Jika tidak ada token AUTH yang dikonfigurasi pada grup replikasi sebelum rotasi token AUTH, cluster mendukung token AUTH yang ditentukan dalam --auth-token parameter selain mendukung koneksi tanpa otentikasi. Lihat Mengatur token AUTH untuk memperbarui token AUTH agar diperlukan menggunakan strategi pembaruan SET.

catatan

Jika Anda tidak mengonfigurasi token AUTH sebelumnya, setelah perubahan selesai, klaster akan mendukung token no AUTH selain token yang ditentukan dalam parameter auth-token.

Jika modifikasi ini dilakukan pada server yang sudah mendukung dua token AUTH, token AUTH tertua juga akan dihapus selama operasi ini. Ini memungkinkan server untuk mendukung hingga dua token AUTH terbaru pada waktu tertentu.

Pada titik ini, Anda dapat melanjutkan dengan memperbarui klien untuk menggunakan token AUTH terbaru. Setelah klien diperbarui, Anda dapat menggunakan strategi SET untuk rotasi token AUTH (dijelaskan pada bagian berikut) untuk secara khusus mulai menggunakan token baru.

AWS CLI Operasi berikut memodifikasi grup replikasi untuk memutar token. AUTH This-is-the-rotated-token

Untuk Linux, macOS, atau Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Mengatur token AUTH

Untuk memperbarui server Redis OSS untuk mendukung satu AUTH token yang diperlukan, panggil operasi ModifyReplicationGroup API dengan --auth-token parameter dengan nilai yang sama dengan token AUTH terakhir dan --auth-token-update-strategy parameter dengan nilai. SET Strategi SET hanya dapat digunakan dengan cluster yang memiliki 2 token AUTH atau 1 token AUTH opsional dari menggunakan strategi ROTATE sebelumnya. Setelah modifikasi selesai, server Redis OSS hanya mendukung token AUTH yang ditentukan dalam parameter auth-token.

AWS CLI Operasi berikut memodifikasi grup replikasi untuk mengatur token AUTH ke. This-is-the-set-token

Untuk Linux, macOS, atau Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Mengaktifkan otentikasi pada klaster ElastiCache (Redis OSS) yang ada

Untuk mengaktifkan otentikasi pada server Redis OSS yang ada, panggil operasi API. ModifyReplicationGroup Panggil ModifyReplicationGroup dengan parameter --auth-token sebagai token baru dan --auth-token-update-strategy dengan nilai ROTATE.

Setelah modifikasi ROTATE selesai, cluster mendukung AUTH token yang ditentukan dalam --auth-token parameter selain mendukung koneksi tanpa otentikasi. Setelah semua aplikasi klien diperbarui untuk mengautentikasi ke Redis OSS dengan token AUTH, gunakan strategi SET untuk menandai token AUTH sesuai kebutuhan. Mengaktifkan otentikasi hanya didukung pada server Redis OSS dengan enkripsi dalam transit (TLS) diaktifkan.

Bermigrasi dari RBAC ke Redis OSS AUTH

Jika Anda mengautentikasi pengguna dengan Redis OSS Role-Based Access Control (RBAC) seperti yang dijelaskan dalamKontrol Akses Berbasis Peran (RBAC), dan Anda ingin bermigrasi ke Redis OSS AUTH, gunakan prosedur berikut. Anda dapat bermigrasi menggunakan konsol atau CLI.

Untuk bermigrasi dari RBAC ke Redis OSS AUTH menggunakan konsol

  1. Masuk ke AWS Management Console dan buka ElastiCache konsol di https://console.aws.amazon.com/elasticache/.

  2. Dari daftar di sudut kanan atas, pilih AWS Wilayah tempat cluster yang ingin Anda modifikasi berada.

  3. Di panel navigasi, pilih mesin yang berjalan pada klaster yang ingin diubah.

    Daftar klaster mesin yang dipilih akan muncul.

  4. Dalam daftar klaster tersebut, pilih nama klaster yang ingin Anda ubah.

  5. Untuk Tindakan, pilih Ubah.

    Jendela Ubah muncul.

  6. Untuk kontrol Akses, pilih Redis OSS AUTH akses pengguna default.

  7. Di bawah Redis OSS AUTH token, tetapkan token baru.

  8. Pilih Pratinjau perubahan, lalu di layar berikutnya, pilih Ubah.

Untuk bermigrasi dari RBAC ke Redis OSS AUTH menggunakan AWS CLI

Gunakan salah satu perintah berikut untuk mengonfigurasi AUTH token opsional baru untuk grup replikasi Redis OSS Anda. Perhatikan bahwa token Auth opsional akan memungkinkan akses tidak diautentikasi ke grup replikasi hingga token Auth ditandai sesuai kebutuhan, menggunakan strategi SET pembaruan pada langkah berikut.

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Setelah menjalankan perintah di atas, Anda dapat memperbarui aplikasi Redis OSS Anda untuk mengautentikasi ke grup ElastiCache replikasi menggunakan token AUTH opsional yang baru dikonfigurasi. Untuk menyelesaikan rotasi token Auth, gunakan strategi pembaruan pada perintah berikutnya SET di bawah ini. Ini akan menandai token AUTH opsional seperti yang diperlukan. Ketika pembaruan token Auth selesai, status grup replikasi akan ditampilkan sebagai ACTIVE dan semua koneksi Redis OSS ke grup replikasi ini akan memerlukan otentikasi.

Untuk Linux, macOS, atau Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Untuk Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Untuk informasi selengkapnya, lihat Mengautentikasi dengan perintah Redis OSS AUTH.

catatan

Jika Anda perlu menonaktifkan kontrol akses pada ElastiCache Cluster, lihatMenonaktifkan kontrol akses pada cache ElastiCache Redis OSS.