Panoramica di AUTH Applicazione dell'autenticazione Modifica di AUTH su un server esistente Migrazione da RBAC a Redis OSS AUTH

Autenticazione con il comando Redis OSS AUTH

Nota

Redis OSS è AUTH stato sostituito da. Controllo accessi basato sui ruoli (RBAC) Tutte le cache serverless devono utilizzare il controllo degli accessi basato su ruolo (RBAC) per l'autenticazione.

I token o le password di autenticazione Redis OSS consentono a Redis OSS di richiedere una password prima di consentire ai client di eseguire comandi, migliorando così la sicurezza dei dati. Redis OSS AUTH è disponibile solo per i cluster progettati autonomamente.

Argomenti

Panoramica dell'AUTH in ElastiCache (Redis OSS)
Applicazione dell'autenticazione a un cluster ElastiCache (Redis OSS)
Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)
Migrazione da RBAC a Redis OSS AUTH

Panoramica dell'AUTH in ElastiCache (Redis OSS)

Quando si utilizza Redis OSS AUTH con il cluster ElastiCache (Redis OSS), vengono apportati alcuni miglioramenti.

In particolare, fai attenzione a questi vincoli relativi al token AUTH o alla password quando usi AUTH con (Redis OSS): ElastiCache

I token o password devono essere composti da 16–128 caratteri stampabili.
I caratteri non alfanumerici sono limitati a (!, &, #, $, ^, <, >, -).
AUTH può essere abilitato solo per i cluster abilitati alla crittografia in transito (Redis OSS). ElastiCache

Per configurare un token robusto, si consiglia di seguire una policy per password rigida che richieda, ad esempio, quanto segue:

I token o le password devono includere almeno tre dei seguenti tipi di caratteri:
- Caratteri maiuscoli
- Caratteri minuscoli
- Numeri
- Caratteri non alfanumerici (!, &, #, $, ^, <, >, -)
I token o le password non devono contenere una parola del dizionario o una parola del dizionario leggermente modificata.
I token o le password non devono essere uguali o simili a quelli di un token usato di recente.

Applicazione dell'autenticazione a un cluster ElastiCache (Redis OSS)

È possibile richiedere agli utenti di inserire un token (password) su un server Redis OSS protetto da token. Per fare ciò, includi il parametro --auth-token (API: AuthToken) con il token corretto quando crei il gruppo di replica o il cluster. Includerlo anche in tutti i comandi successivi per il gruppo di replica o il cluster.

La seguente AWS CLI operazione crea un gruppo di replica con la crittografia in transito (TLS) abilitata e il token. AUTH This-is-a-sample-token Sostituisci il gruppo di sottoreti sng-test con uno esistente.

Parametri chiave

--engine — Deve essere redis.
--engine-version - Deve essere 3.2.6, 4.0.10 o versione successiva.
--transit-encryption-enabled : obbligatorio per l'autenticazione e la conformità HIPAA.
--auth-token : obbligatorio per la conformità HIPAA. Questo valore deve essere il token corretto per questo server Redis OSS protetto da token.
--cache-subnet-group : obbligatorio per la conformità HIPAA.

Per Linux, macOS o Unix:


aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Per Windows:


aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modifica del token AUTH su un cluster esistente ElastiCache (Redis OSS)

Per semplificare l'aggiornamento dell'autenticazione, è possibile modificare il AUTH token utilizzato su un cluster ElastiCache (Redis OSS). È possibile apportare questa modifica se la versione del motore è 5.0.6 o successiva e se ElastiCache (Redis OSS) è abilitata la crittografia in transito.

La modifica del token di autorizzazione supporta due strategie: ROTATE e SET. La strategia ROTATE aggiunge un token AUTH aggiuntivo al server mantenendo il token precedente. La strategia SET aggiorna il server per supportare solo un singolo token AUTH. Effettuare queste richieste di modifica con il parametro --apply-immediately per applicare immediatamente le modifiche.

Rotazione del token AUTH

Per aggiornare un server Redis OSS con un nuovo token AUTH, chiama l'ModifyReplicationGroupAPI con il --auth-token parametro come nuovo AUTH token e il valore --auth-token-update-strategy ROTATE. Una volta completata la modifica ROTATE, il cluster supporterà il token AUTH precedente oltre a quello specificato nel parametro. auth-token Se nessun token AUTH era configurato sul gruppo di replica prima della rotazione del token AUTH, il cluster supporta il token AUTH specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Vedi come Impostazione del token AUTH aggiornare il token AUTH da richiedere utilizzando la strategia di aggiornamento SET.

Nota

Se prima non si configura il token AUTH, una volta completata la modifica, il cluster non supporterà alcun token AUTH oltre a quello specificato nel parametro auth-token.

Se questa modifica viene eseguita su un server che supporta già due token AUTH, durante questa operazione verrà rimosso anche il token AUTH più vecchio. Ciò consente a un server di supportare fino a due token AUTH più recenti contemporaneamente.

A questo punto, puoi procedere aggiornando il client per utilizzare il token AUTH più recente. Una volta aggiornati i client, è possibile utilizzare la strategia SET in modo che la rotazione del token AUTH (spiegata nella sezione seguente) inizi esclusivamente utilizzando il nuovo token.

La seguente AWS CLI operazione modifica un gruppo di replica per ruotare il token. AUTH This-is-the-rotated-token

Per Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Per Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Impostazione del token AUTH

Per aggiornare un server Redis OSS in modo che supporti un singolo AUTH token richiesto, richiama l'operazione ModifyReplicationGroup API con il --auth-token parametro con lo stesso valore dell'ultimo token AUTH e il parametro con il --auth-token-update-strategy valore. SET La strategia SET può essere utilizzata solo con un cluster con 2 token AUTH o 1 token AUTH opzionale utilizzato in precedenza con una strategia ROTATE. Una volta completata la modifica, il server Redis OSS supporta solo il token AUTH specificato nel parametro auth-token.

La seguente AWS CLI operazione modifica un gruppo di replica su cui impostare il token AUTH. This-is-the-set-token

Per Linux, macOS o Unix:


aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Per Windows:


aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Abilitazione dell'autenticazione su un cluster esistente ElastiCache (Redis OSS)

Per abilitare l'autenticazione su un server Redis OSS esistente, richiama l'operazione ModifyReplicationGroup API. Richiamare ModifyReplicationGroup con il parametro --auth-token come il nuovo token e --auth-token-update-strategy con il valore ROTATE.

Una volta completata la modifica ROTATE, il cluster supporta il AUTH token specificato nel --auth-token parametro oltre a supportare la connessione senza autenticazione. Una volta aggiornate tutte le applicazioni client per l'autenticazione su Redis OSS con il token AUTH, utilizzate la strategia SET per contrassegnare il token AUTH come richiesto. L'abilitazione dell'autenticazione è supportata solo sui server Redis OSS con crittografia in transito (TLS) abilitata.

Migrazione da RBAC a Redis OSS AUTH

Se state autenticando gli utenti con Redis OSS Role-Based Access Control (RBAC) come descritto in e desiderate migrare a Redis OSS AUTHControllo accessi basato sui ruoli (RBAC), utilizzate le seguenti procedure. È possibile eseguire la migrazione mediante console o CLI.

Per migrare da RBAC a Redis OSS AUTH utilizzando la console

Accedere AWS Management Console e aprire la console all'indirizzo https://console.aws.amazon.com/elasticache/. ElastiCache
Dall'elenco nell'angolo in alto a destra, scegli la AWS regione in cui si trova il cluster che desideri modificare.
Nel riquadro di navigazione, scegliere il motore in esecuzione sul cluster da modificare.

Comparirà un elenco dei cluster che eseguono il motore selezionato.
Nell'elenco dei cluster, per il cluster che si desidera modificare, scegli il nome.
Per Operazioni, scegli Modifica.

Viene visualizzata la finestra Modifica.
Per il controllo degli accessi, scegli l'accesso utente predefinito di Redis OSS AUTH.
Sotto il token Redis OSS AUTH, imposta un nuovo token.
Scegli Visualizza l'anteprima delle modifiche e quindi, nella schermata successiva, seleziona Modifica.

Per migrare da RBAC a Redis OSS AUTH utilizzando il AWS CLI

Utilizza uno dei seguenti comandi per configurare un nuovo AUTH token opzionale per il tuo gruppo di replica Redis OSS. Tieni presente che un token di autenticazione opzionale consentirà l'accesso non autenticato al gruppo di replica fino a quando il token di autenticazione non sarà contrassegnato come richiesto, utilizzando la strategia di aggiornamento nella fase successiva. SET

Per Linux, macOS o Unix:


aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Per Windows:


aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Dopo aver eseguito il comando precedente, è possibile aggiornare le applicazioni Redis OSS per l'autenticazione al gruppo di ElastiCache replica utilizzando il token AUTH opzionale appena configurato. Per completare la rotazione del token di autenticazione, utilizza la strategia di aggiornamento SET nel comando successivo di seguito. Questo contrassegnerà il token AUTH opzionale come richiesto. Al termine dell'aggiornamento del token di autenticazione, lo stato del gruppo di replica verrà visualizzato come ACTIVE e tutte le connessioni Redis OSS a questo gruppo di replica richiederanno l'autenticazione.

Per Linux, macOS o Unix:


aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Per Windows:


aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Per ulteriori informazioni, consulta Autenticazione con il comando Redis OSS AUTH.

Nota

Se è necessario disabilitare il controllo degli accessi su un cluster, vedere. ElastiCache Disabilitazione del controllo degli accessi su una cache ElastiCache Redis OSS

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autenticazione con IAM

Disabilitazione del controllo degli accessi su una cache ElastiCache Redis OSS