翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Valkey および Redis OSS AUTH コマンドを使用した認証

Valkey と Redis のOSS認証トークンまたはパスワードにより、Valkey と Redis はクライアントOSSにコマンドの実行を許可する前にパスワードを要求できるため、データセキュリティが向上します。AUTH は独自設計型クラスターでのみ使用できます。

ElastiCache for Valkey と Redis AUTHの の概要 OSS

ElastiCache for Valkey および Redis OSSクラスターAUTHで を使用する場合、いくつかの改良点があります。

特に、 を使用する場合は、AUTHトークンまたはパスワードの制約に注意してくださいAUTH。

強力なトークンを設定するには、以下の要件を満たすなど、厳格なパスワードポリシーに従うことをお勧めします。

ElastiCache for Valkey および Redis OSSクラスターへの認証の適用

ユーザーがトークンで保護された Valkey または Redis OSSサーバーにトークン (パスワード) を入力するように要求できます。これを行うには、レプリケーショングループまたはクラスターを作成するときに、正しいトークンに パラメータ --auth-token (API: AuthToken) を含めます。また、レプリケーショングループまたはクラスターに対する後続のすべてのコマンドにもそのパラメータを含めます。

次の AWS CLI オペレーションでは、転送中の暗号化 (TLS) とAUTHトークン を有効にしたレプリケーショングループを作成しますThis-is-a-sample-token。サブネット グループ sng-test を、実存のサブネットグループに置き換えます。

Linux、macOS、Unix の場合:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Windows の場合:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

既存のクラスターのAUTHトークンの変更

認証の更新を容易にするために、クラスターで使用される AUTH トークンを変更できます。エンジンバージョンが Valkey 7.2 以降または Redis 5.0.6 以降である場合、この変更を行うことができます。 では、転送中の暗号化も有効になっている ElastiCache 必要があります。

認証トークンの変更は、 ROTATEと の 2 つの戦略をサポートしますSET。このROTATE戦略では、前のAUTHトークンを保持しながら、サーバーに追加のトークンを追加します。このSET戦略では、単一のAUTHトークンのみをサポートするようにサーバーを更新します。変更をすぐに適用するには、これらの変更の呼び出しで --apply-immediately パラメータを指定します。

AUTH トークンのローテーション

Valkey または Redis OSSサーバーを新しいAUTHトークンで更新するには、 --auth-token パラメータModifyReplicationGroupAPIを新しいAUTHトークンとして を呼び出し、 値--auth-token-update-strategyとして を呼び出しますROTATE。ROTATE 変更が完了すると、クラスターは auth-tokenパラメータで指定されたトークンに加えて、前のAUTHトークンをサポートします。AUTH トークンローテーションの前にレプリケーショングループにAUTHトークンが設定されていない場合、クラスターは認証なしの接続をサポートするだけでなく、 --auth-tokenパラメータで指定されたAUTHトークンもサポートします。更新戦略 を使用してトークンを必須AUTHに更新AUTH トークンの設定するには、「」を参照してくださいSET。

この変更が既に 2 つのAUTHトークンをサポートしているサーバーで実行された場合、このオペレーション中に最も古いAUTHトークンも削除されます。これにより、サーバーは一度に最大 2 つの最新のAUTHトークンをサポートできます。

この時点で、最新の AUTH トークンを使用するようにクライアントを更新することで続行できます。クライアントが更新されたら、AUTHトークンローテーションのSET戦略 (次のセクションで説明) を使用して、新しいトークンの使用を排他的に開始できます。

次の AWS CLI オペレーションでは、AUTHトークン をローテーションするようにレプリケーショングループを変更しますThis-is-the-rotated-token。

Linux、macOS、Unix の場合:

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Windows の場合:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

AUTH トークンの設定

1 つの必須AUTHトークンをサポートするように Valkey または Redis OSSサーバーを更新するには、最後のAUTHトークンと同じ値を持つ --auth-tokenパラメータと値を持つ --auth-token-update-strategyパラメータを使用して ModifyReplicationGroupAPIオペレーションを呼び出しますSET。SET 戦略は、以前にROTATE戦略を使用した 2 つのAUTHトークンまたは 1 つのオプションのAUTHトークンを持つクラスターでのみ使用できます。変更が完了すると、サーバーは auth-token パラメータで指定されたAUTHトークンのみをサポートします。

次の AWS CLI オペレーションでは、レプリケーショングループを変更してAUTHトークンを に設定しますThis-is-the-set-token。

Linux、macOS、Unix の場合:

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Windows の場合:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

既存のクラスターでの認証の有効化

既存の Valkey または Redis OSSサーバーで認証を有効にするには、 ModifyReplicationGroupAPIオペレーションを呼び出します。--auth-token パラメータ ModifyReplicationGroupを新しいトークンとして、 を値 --auth-token-update-strategy として呼び出しますROTATE。

ROTATE 変更が完了すると、クラスターは認証なしでの接続をサポートするだけでなく、 --auth-tokenパラメータで指定されたAUTHトークンもサポートします。AUTH トークンOSSを使用して Valkey または Redis に認証するようにすべてのクライアントアプリケーションが更新されたら、 SET戦略を使用してAUTHトークンを必要に応じてマークします。認証の有効化は、転送中の暗号化 (TLS) が有効になっている Valkey サーバーと Redis OSSサーバーでのみサポートされます。

RBAC から AUTH への移行

「」の説明に従って Valkey または Redis OSSロールベースのアクセスコントロール (RBAC) でユーザーを認証しロールベースのアクセスコントロール (RBAC）、 に移行する場合はAUTH、次の手順を使用します。移行には、 コンソールまたは を使用できますCLI。

RBACAUTHを使用して から に移行するには AWS CLI

次のいずれかのコマンドを使用して、Valkey または Redis OSSレプリケーショングループの新しいオプションAUTHトークンを設定します。オプションの Auth トークンでは、次のステップで更新戦略 SET を使用して、Auth トークンが必須としてマークされるまで、レプリケーショングループへの未認証アクセスが許可されます。

Linux、macOS、Unix の場合:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately 

Windows の場合:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately 

上記のコマンドを実行した後、新しく設定されたオプションAUTHトークンを使用して、Valkey または Redis OSSアプリケーションを更新してレ ElastiCache プリケーショングループを認証できます。Auth トークンローテーションを完了するには、次のコマンドで更新戦略 SET を使用します。これにより、必要に応じてオプションのAUTHトークンにマークされます。Auth トークンの更新が完了すると、レプリケーショングループのステータスは ACTIVE として表示され、このレプリケーショングループへのすべての接続には認証が必要になります。

Linux、macOS、Unix の場合:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately 

Windows の場合:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

詳細については、「Valkey および Redis OSS AUTH コマンドを使用した認証」を参照してください。