기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
레디 스 OSS 인증 명령을 사용한 인증
참고
Redis OSS가 로 대체되었습니다. AUTH 역할 기반 액세스 제어(RBAC) 모든 서버리스 캐시는 RBAC를 사용해 인증되어야 합니다.
Redis OSS 인증 토큰 또는 암호를 사용하면 Redis OSS에서 클라이언트가 명령을 실행하도록 허용하기 전에 암호를 요구할 수 있으므로 데이터 보안이 향상됩니다. Redis OSS는 자체 설계된 클러스터에만 사용할 수 있습니다AUTH.
주제
인증 개요 (레디 스 OSS) ElastiCache
ElastiCache (Redis OSS) AUTH 클러스터와 함께 Redis OSS를 사용하는 경우 몇 가지 개선 사항이 있습니다.
특히 (Redis OSS) 와 함께 AUTH를 사용할 때는 다음과 같은 AUTH 토큰 또는 암호 제약 조건에 유의하세요. ElastiCache
-
토큰 또는 암호는 16~128자 길이의 인쇄 가능한 문자여야 합니다.
-
영숫자 외의 특수 문자는 (!, &, #, $, ^, <, >, -)로 제한됩니다.
-
전송 중 암호화가 활성화된 (Redis OSS) 클러스터에서만 인증을 ElastiCache 활성화할 수 있습니다.
강력한 토큰을 설정하려면 다음 사항을 요구하는 등 엄격한 암호 정책을 따르는 것이 좋습니다.
-
토큰 또는 비밀번호에는 다음 문자 유형 중 3개 이상이 포함되어야 합니다.
-
대문자
-
소문자
-
Digits
-
영숫자 이외의 문자(
!
,&
,#
,$
,^
,<
,>
,-
)
-
-
토큰 또는 암호에는 사전 단어 또는 약간 수정된 사전 단어가 포함되어서는 안 됩니다.
-
토큰 또는 비밀번호는 최근에 사용한 토큰과 같거나 유사하지 않아야 합니다.
ElastiCache (Redis OSS) 클러스터에 인증 적용
사용자가 토큰으로 보호되는 Redis OSS 서버에서 토큰 (암호) 을 입력하도록 요구할 수 있습니다. 이렇게 하려면 복제 그룹 또는 클러스터를 생성할 때 올바른 토큰을 가진 파라미터 --auth-token
(API: AuthToken
)을 포함시킵니다. 또한 복제 그룹 또는 클러스터에 대한 모든 후속 명령에 이를 포함시킵니다.
다음 AWS CLI 작업을 수행하면 전송 중 암호화 (TLS) 가 활성화되고 토큰이 포함된 복제 그룹이 생성됩니다. AUTH
서브넷 그룹 This-is-a-sample-token
sng-test
는 존재하는 서브넷 그룹으로 대체합니다.
키 파라미터
-
--engine
- 반드시redis
여야 합니다. -
--engine-version
- 3.2.6, 4.0.10 또는 그 이상이어야 합니다. -
--transit-encryption-enabled
- 인증 및 HIPAA 자격 획득에 필요합니다. -
--auth-token
- HIPAA 자격 획득에 필요합니다. 이 값은 토큰으로 보호되는 이 Redis OSS 서버의 올바른 토큰이어야 합니다. -
--cache-subnet-group
- HIPAA 자격 획득에 필요합니다.
Linux, macOS, Unix의 경우:
aws elasticache create-replication-group \ --replication-group-id
authtestgroup
\ --replication-group-descriptionauthtest
\ --engineredis
\ --cache-node-typecache.m4.large
\ --num-node-groups1
\ --replicas-per-node-group2
\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token
\ --cache-subnet-groupsng-test
Windows의 경우:
aws elasticache create-replication-group ^ --replication-group-id
authtestgroup
^ --replication-group-descriptionauthtest
^ --engineredis
^ --cache-node-typecache.m4.large
^ --num-node-groups1
^ --replicas-per-node-group2
^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token
^ --cache-subnet-groupsng-test
기존 (Redis OSS) 클러스터의 인증 토큰 수정 ElastiCache
인증을 더 쉽게 업데이트할 수 있도록 ElastiCache (Redis OSS) 클러스터에서 사용되는 AUTH 토큰을 수정할 수 있습니다. 엔진 버전이 5.0.6 이상이고 ElastiCache (Redis OSS) 에 전송 중 암호화가 활성화되어 있는 경우 이 수정을 수행할 수 있습니다.
auth 토큰 수정은 ROTATE와 SET 등 두 가지 전략을 지원합니다. ROTATE 전략은 이전 토큰을 유지하면서 서버에 추가 AUTH 토큰을 추가합니다. SET 전략은 단일 AUTH 토큰만 지원하도록 서버를 업데이트합니다. --apply-immediately
파라미터를 통해 이러한 수정 호출을 수행하면 변경 사항이 즉시 적용됩니다.
AUTH 토큰 교체
새 인증 토큰으로 Redis OSS 서버를 업데이트하려면 --auth-token
매개변수를 새 토큰으로, 값을 ROTATE로 --auth-token-update-strategy
사용하여 ModifyReplicationGroup
API를 호출합니다. AUTH ROTATE 수정이 완료되면 클러스터는 파라미터에 지정된 토큰 외에 이전 AUTH 토큰을 지원합니다. auth-token
AUTH 토큰 교체 전에 복제 그룹에 AUTH 토큰이 구성되지 않은 경우 클러스터는 인증 없는 연결을 지원하는 것 외에도 --auth-token
파라미터에 지정된 AUTH 토큰을 지원합니다. 업데이트 전략 AUTH 토큰 설정 SET을 사용하여 AUTH 토큰을 필수로 업데이트하려면 을 참조하십시오.
참고
이전에 AUTH 토큰을 구성하지 않은 경우 수정이 완료되면 클러스터는 auth-token 파라미터에 지정된 토큰 외에 AUTH 토큰을 지원하지 않습니다.
이미 두 개의 AUTH 토큰을 지원하는 서버에서 이 수정을 수행하면 이 작업 중에 가장 오래된 AUTH 토큰도 제거됩니다. 이를 통해 서버는 한 번에 가장 최근의 AUTH 토큰을 최대 2개까지 지원할 수 있습니다.
이제 최신 AUTH 토큰을 사용하도록 클라이언트를 업데이트하여 진행할 수 있습니다. 클라이언트가 업데이트되면 AUTH 토큰 교체를 위한 SET 전략(다음 섹션에 설명)을 이용해 새 토큰의 사용을 단독으로 시작할 수 있습니다.
다음 AWS CLI 작업은 복제 그룹을 수정하여 토큰을 교체합니다. AUTH This-is-the-rotated-token
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-rotated-token
\ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-rotated-token
^ --auth-token-update-strategy ROTATE ^ --apply-immediately
AUTH 토큰 설정
필수 AUTH 토큰 하나를 지원하도록 Redis OSS 서버를 업데이트하려면 마지막 AUTH 토큰과 값이 같은 --auth-token
파라미터와 값이 같은 --auth-token-update-strategy
파라미터를 사용하여 ModifyReplicationGroup
API 작업을 호출합니다. SET
SET 전략은 AUTH 토큰 2개 또는 이전에 ROTATE 전략을 사용한 선택적 AUTH 토큰 1개가 있는 클러스터에서만 사용할 수 있습니다. 수정이 완료되면 Redis OSS 서버는 auth-token 파라미터에 지정된 인증 토큰만 지원합니다.
다음 AWS CLI 작업은 인증 토큰을 설정할 복제 그룹을 수정합니다. This-is-the-set-token
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-set-token
\ --auth-token-update-strategy SET \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-set-token
^ --auth-token-update-strategy SET ^ --apply-immediately
기존 ElastiCache (Redis OSS) 클러스터에서 인증 활성화
기존 Redis OSS 서버에서 인증을 활성화하려면 API 작업을 호출하십시오. ModifyReplicationGroup
새 토큰 역할을 하는 --auth-token
파라미터와 값이 ROTATE인 --auth-token-update-strategy
파라미터로 ModifyReplicationGroup
을 호출합니다.
ROTATE 수정이 완료되면 클러스터는 인증 없는 연결을 지원하는 것 외에도 --auth-token
매개변수에 지정된 AUTH 토큰을 지원합니다. 모든 클라이언트 애플리케이션이 AUTH 토큰으로 Redis OSS에 인증되도록 업데이트되면 SET 전략을 사용하여 AUTH 토큰을 필수로 표시합니다. 인증 활성화는 전송 중 암호화 (TLS) 가 활성화된 Redis OSS 서버에서만 지원됩니다.
RBAC에서 Redis OSS 인증으로 마이그레이션
에 설명된 대로 Redis OSS RBAC (역할 기반 액세스 제어) 로 사용자를 인증하고 Redis OSS 인증으로 마이그레이션하려면 다음 역할 기반 액세스 제어(RBAC) 절차를 사용하십시오. 콘솔이나 CLI를 사용하여 마이그레이션할 수 있습니다.
콘솔을 사용하여 RBAC에서 Redis OSS 인증으로 마이그레이션하려면
-
오른쪽 상단의 목록에서 수정하려는 클러스터가 위치한 AWS 지역을 선택합니다.
-
탐색 창에서 수정하려는 클러스터에서 실행 중인 엔진을 선택합니다.
선택한 엔진의 클러스터 목록이 나타납니다.
-
클러스터 목록에서 수정할 클러스터의 해당 이름을 선택합니다.
-
작업에서 수정을 선택합니다.
수정 창이 나타납니다.
-
액세스 제어에서 Redis OSS AUTH 인증 기본 사용자 액세스를 선택합니다.
-
Redis OSS 인증 토큰에서 새 토큰을 설정합니다.
-
변경 사항 미리보기를 선택하면 나오는 다음 화면에서 수정을 선택합니다.
다음을 사용하여 RBAC에서 Redis OSS 인증으로 마이그레이션하려면 AWS CLI
다음 명령 중 하나를 사용하여 Redis OSS 복제 그룹을 위한 새 선택적 AUTH 토큰을 구성하십시오. 참고로, 선택적 인증 토큰을 사용하면 다음 단계의 업데이트 전략을 사용하여 인증 토큰이 필수로 표시될 때까지 복제 그룹에 인증되지 않은 액세스를 허용할 수 있습니다. SET
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
위 명령을 실행한 후 새로 구성된 선택적 AUTH 토큰을 사용하여 ElastiCache 복제 그룹에 인증하도록 Redis OSS 애플리케이션을 업데이트할 수 있습니다. 인증 토큰 로테이션을 완료하려면 아래 후속 명령의 업데이트 전략을 SET
사용하십시오. 그러면 선택적 AUTH 토큰이 필요에 따라 표시됩니다. 인증 토큰 업데이트가 완료되면 복제 그룹 상태가 로 ACTIVE
표시되고 이 복제 그룹에 대한 모든 Redis OSS 연결에는 인증이 필요합니다.
Linux, macOS, Unix의 경우:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Windows의 경우:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
자세한 정보는 레디 스 OSS 인증 명령을 사용한 인증을 참조하세요.
참고
클러스터에서 액세스 제어를 비활성화해야 하는 경우 을 참조하십시오. ElastiCache ElastiCacheRedis OSS 캐시에 대한 액세스 제어 비활성화