기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Valkey 및 Redis OSS AUTH 명령을 사용한 인증
참고
AUTH 가 로 대체되었습니다역할 기반 액세스 제어(RBAC). 모든 서버리스 캐시는 인증RBAC에 를 사용해야 합니다.
Valkey 및 Redis OSS 인증 토큰 또는 암호를 사용하면 클라이언트가 명령을 실행OSS하도록 허용하기 전에 Valkey 및 Redis에 암호가 필요하므로 데이터 보안이 향상됩니다. AUTH 는 자체 설계된 클러스터에만 사용할 수 있습니다.
주제
Valkey 및 Redis를 ElastiCache 사용한 AUTH 의 개요 OSS
를 Valkey 또는 Redis OSS 클러스터 ElastiCache 와 AUTH 함께 사용하는 경우 몇 가지 개선 사항이 있습니다.
특히 를 사용할 때 이러한 AUTH 토큰 또는 암호 제약 조건에 유의하세요AUTH.
-
토큰 또는 암호는 16~128자 길이의 인쇄 가능한 문자여야 합니다.
-
영숫자 외의 특수 문자는 (!, &, #, $, ^, <, >, -)로 제한됩니다.
-
AUTH 는 ElastiCache Valkey 또는 Redis OSS 클러스터에서 활성화된 전송 중 암호화에만 활성화할 수 있습니다.
강력한 토큰을 설정하려면 다음 사항을 요구하는 등 엄격한 암호 정책을 따르는 것이 좋습니다.
-
토큰 또는 암호에는 다음 문자 유형 중 세 가지 이상이 포함되어야 합니다.
-
대문자
-
소문자
-
Digits
-
영숫자 이외의 문자(
!
,&
,#
,$
,^
,<
,>
,-
)
-
-
토큰 또는 암호에는 사전 단어 또는 약간 수정된 사전 단어가 포함되어서는 안 됩니다.
-
토큰 또는 암호는 최근에 사용한 토큰과 같거나 비슷해서는 안 됩니다.
Valkey 또는 Redis OSS 클러스터 ElastiCache 를 사용하여 에 인증 적용
사용자가 토큰으로 보호된 Valkey 또는 Redis OSS 서버에 토큰(암호)을 입력하도록 요구할 수 있습니다. 이렇게 하려면 복제 그룹 또는 클러스터를 생성할 때 파라미터--auth-token
(API: AuthToken
)를 올바른 토큰과 함께 포함시킵니다. 또한 복제 그룹 또는 클러스터에 대한 모든 후속 명령에 이를 포함시킵니다.
다음 AWS CLI 작업은 전송 중 암호화(TLS)가 활성화되고 AUTH 토큰이 인 복제 그룹을 생성합니다
. 서브넷 그룹 This-is-a-sample-token
sng-test
는 존재하는 서브넷 그룹으로 대체합니다.
키 파라미터
-
--engine
–valkey
또는 이어야 합니다redis
. -
--engine-version
– 엔진이 Redis 인 경우 는 3.2.6, 4.0.10 이상이어야 OSS합니다. -
--transit-encryption-enabled
- 인증 및 HIPAA 자격에 필요합니다. -
--auth-token
- HIPAA 자격에 필요합니다. 이 값은 토큰으로 보호된 이 Valkey 또는 Redis OSS 서버의 올바른 토큰이어야 합니다. -
--cache-subnet-group
– HIPAA 자격에 필요합니다.
Linux, macOS, Unix의 경우:
aws elasticache create-replication-group \ --replication-group-id
authtestgroup
\ --replication-group-descriptionauthtest
\ --engineredis
\ --cache-node-typecache.m4.large
\ --num-node-groups1
\ --replicas-per-node-group2
\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token
\ --cache-subnet-groupsng-test
Windows의 경우:
aws elasticache create-replication-group ^ --replication-group-id
authtestgroup
^ --replication-group-descriptionauthtest
^ --engineredis
^ --cache-node-typecache.m4.large
^ --num-node-groups1
^ --replicas-per-node-group2
^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token
^ --cache-subnet-groupsng-test
기존 클러스터에서 AUTH 토큰 수정
인증을 더 쉽게 업데이트할 수 있도록 클러스터에 사용되는 AUTH 토큰을 수정할 수 있습니다. 엔진 버전이 Valkey 7.2 이상 또는 Redis 5.0.6 이상인 경우 이 수정을 수행할 수 있습니다. 전송 시 암호화도 활성화되어 있어야 ElastiCache 합니다.
인증 토큰을 수정하면 ROTATE 및 두 가지 전략이 지원됩니다SET. ROTATE 전략은 이전 AUTH 토큰을 유지하면서 서버에 추가 토큰을 추가합니다. 이 SET 전략은 단일 AUTH 토큰만 지원하도록 서버를 업데이트합니다. --apply-immediately
파라미터를 통해 이러한 수정 호출을 수행하면 변경 사항이 즉시 적용됩니다.
AUTH 토큰 교체
Valkey 또는 Redis OSS 서버를 새 AUTH 토큰 로 업데이트하려면 --auth-token
파라미터가 새 AUTH 토큰인 ModifyReplicationGroup
API와 값이 --auth-token-update-strategy
인 를 호출합니다ROTATE. ROTATE 수정이 완료되면 클러스터는 auth-token
파라미터에 지정된 토큰 외에도 이전 AUTH 토큰을 지원합니다. AUTH 토큰 교체 전에 복제 그룹에 AUTH 토큰이 구성되지 않은 경우 클러스터는 인증 없이 연결을 지원하는 것 외에도 --auth-token
파라미터에 지정된 AUTH 토큰을 지원합니다. 업데이트 전략 을 사용하여 AUTH 토큰을 필수로 업데이트AUTH 토큰 설정하려면 섹션을 참조하세요SET.
참고
이전에 AUTH 토큰을 구성하지 않은 경우 수정이 완료되면 클러스터는 인증 토큰 파라미터에 지정된 AUTH 토큰 외에 토큰을 지원하지 않습니다.
이미 두 개의 AUTH 토큰을 지원하는 서버에서 이 수정을 수행하면 이 작업 중에 가장 오래된 AUTH 토큰도 제거됩니다. 이를 통해 서버는 지정된 시간에 최대 2개의 최신 AUTH 토큰을 지원할 수 있습니다.
이때 클라이언트를 업데이트하여 최신 AUTH 토큰을 사용하도록 할 수 있습니다. 클라이언트가 업데이트된 후 AUTH 토큰 교체 SET 전략(다음 섹션에서 설명됨)을 사용하여 새 토큰만 사용할 수 있습니다.
다음 AWS CLI 작업은 복제 그룹을 수정하여 AUTH 토큰 를 교체합니다
.This-is-the-rotated-token
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-rotated-token
\ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-rotated-token
^ --auth-token-update-strategy ROTATE ^ --apply-immediately
AUTH 토큰 설정
단일 필수 AUTH 토큰을 지원하도록 Valkey 또는 Redis OSS 서버를 업데이트하려면 마지막 AUTH 토큰과 동일한 값을 가진 --auth-token
파라미터로 ModifyReplicationGroup
API 작업을 호출하고 값이 인 --auth-token-update-strategy
파라미터를 호출합니다SET
. 이 SET 전략은 이전에 ROTATE 전략을 사용할 때AUTH부터 토큰 2개 또는 선택적 AUTH 토큰 1개가 있는 클러스터에서만 사용할 수 있습니다. 수정이 완료되면 서버는 인증 AUTH 토큰 파라미터에 지정된 토큰만 지원합니다.
다음 AWS CLI 작업은 복제 그룹을 수정하여 AUTH 토큰을 로 설정합니다
.This-is-the-set-token
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-set-token
\ --auth-token-update-strategy SET \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-set-token
^ --auth-token-update-strategy SET ^ --apply-immediately
기존 클러스터에서 인증 활성화
기존 Valkey 또는 Redis OSS 서버에서 인증을 활성화하려면 ModifyReplicationGroup
API 작업을 호출합니다. --auth-token
파라미터를 새 토큰으로 ModifyReplicationGroup
호출하고 값을 --auth-token-update-strategy
로 호출합니다ROTATE.
ROTATE 수정이 완료되면 클러스터는 인증 없이 연결을 지원하는 것 외에도 --auth-token
파라미터에 지정된 AUTH 토큰을 지원합니다. AUTH 토큰을 사용하여 Valkey 또는 RedisOSS에 인증하도록 모든 클라이언트 애플리케이션이 업데이트되면 SET 전략을 사용하여 AUTH 토큰을 필요에 따라 표시합니다. 인증 활성화는 전송 중 암호화(TLS)가 활성화된 Valkey 및 Redis OSS 서버에서만 지원됩니다.
에서 RBAC로 마이그레이션 AUTH
에 설명된 대로 Valkey 또는 Redis OSS 역할 기반 액세스 제어(RBAC)로 사용자를 인증역할 기반 액세스 제어(RBAC)하고 로 마이그레이션하려는 경우 다음 절차를 AUTH사용합니다. 콘솔 또는 를 사용하여 마이그레이션할 수 있습니다CLI.
콘솔을 AUTH 사용하여 에서 RBAC 로 마이그레이션하려면
에 로그인 AWS Management Console 하고 https://console.aws.amazon.com/elasticache/
에서 ElastiCache 콘솔을 엽니다. -
오른쪽 상단 모서리의 목록에서 수정하려는 클러스터가 있는 AWS 리전을 선택합니다.
-
탐색 창에서 수정하려는 클러스터에서 실행 중인 엔진을 선택합니다.
선택한 엔진의 클러스터 목록이 나타납니다.
-
클러스터 목록에서 수정할 클러스터의 해당 이름을 선택합니다.
-
작업에서 수정을 선택합니다.
수정 창이 나타납니다.
-
액세스 제어 에서 Valkey AUTH 기본 사용자 액세스 또는 Redis OSS AUTH 기본 사용자 액세스 를 선택합니다.
-
Valkey AUTH 토큰 또는 Redis OSS AUTH 토큰에서 새 토큰을 설정합니다.
-
변경 사항 미리보기를 선택하면 나오는 다음 화면에서 수정을 선택합니다.
를 AUTH 사용하여 에서 RBAC로 마이그레이션하려면 AWS CLI
다음 명령 중 하나를 사용하여 Valkey 또는 Redis OSS 복제 그룹에 대한 새 선택적 AUTH 토큰을 구성합니다. 선택적 인증 토큰은 SET
다음 단계의 업데이트 전략을 사용하여 인증 토큰이 필요한 것으로 표시될 때까지 복제 그룹에 대한 인증되지 않은 액세스를 허용합니다.
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
위 명령을 실행한 후 새로 구성된 선택적 AUTH 토큰을 사용하여 Valkey 또는 Redis OSS 애플리케이션을 업데이트하여 ElastiCache 복제 그룹에 인증할 수 있습니다. 인증 토큰 교체를 완료하려면 아래 후속 명령SET
의 업데이트 전략을 사용합니다. 이렇게 하면 필요에 따라 선택적 AUTH 토큰에 표시됩니다. 인증 토큰 업데이트가 완료되면 복제 그룹 상태가 로 표시되고 이 복제 그룹에 대한 ACTIVE
모든 연결에 인증이 필요합니다.
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
자세한 내용은 Valkey 및 Redis OSS AUTH 명령을 사용한 인증 단원을 참조하십시오.
참고
ElastiCache 클러스터에서 액세스 제어를 비활성화해야 하는 경우 섹션을 참조하세요Valkey 또는 Redis OSS 캐시에서 ElastiCache 액세스 제어 비활성화.