Autenticação com o comando Valkey e Redis OSS AUTH - Amazon ElastiCache

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticação com o comando Valkey e Redis OSS AUTH

nota

O AUTH foi substituído por. Controle de acesso baseado em funções () RBAC Todos os caches sem servidor devem ser usados RBAC para autenticação.

Os tokens ou senhas de OSS autenticação Valkey e Redis permitem que o Valkey e o Redis OSS exijam uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. O AUTH está disponível somente para clusters autoprojetados.

Visão geral de AUTH in ElastiCache with Valkey e Redis OSS

Quando você usa o AUTH ElastiCache com seu OSS cluster Valkey ou Redis, há alguns refinamentos.

Em particular, esteja ciente dessas restrições de AUTH token ou senha ao usar: AUTH

  • Tokens, ou senhas, devem ter de 16 a 128 caracteres imprimíveis.

  • Caracteres não alfanuméricos são restritos a (! , &, #, $, ^, <, >, -).

  • AUTHsó pode ser habilitado para criptografia em trânsito habilitada ElastiCache com clusters Valkey ou RedisOSS.

Para configurar um token forte, recomendamos que você siga uma política de senha estrita, tal como exigir o seguinte:

  • Os tokens ou senhas devem incluir pelo menos três dos seguintes tipos de caracteres:

    • Caracteres maiúsculos

    • Caracteres minúsculos

    • Dígitos

    • Caracteres não alfanuméricos (!, &, #, $, ^, <, >, -)

  • Os tokens ou senhas não devem conter uma palavra do dicionário ou uma palavra do dicionário ligeiramente modificada.

  • Os tokens ou senhas não devem ser iguais ou semelhantes a um token usado recentemente.

Aplicando autenticação a um cluster ElastiCache com Valkey ou Redis OSS

Você pode exigir que os usuários insiram um token (senha) em um servidor Valkey ou Redis protegido por token. OSS Para fazer isso, inclua o parâmetro --auth-token (API:AuthToken) com o token correto ao criar seu grupo ou cluster de replicação. Inclua-o também em todos os comandos subsequentes para o grupo de replicação ou cluster.

A AWS CLI operação a seguir cria um grupo de replicação com a criptografia em trânsito (TLS) ativada e o AUTH tokenThis-is-a-sample-token. Substitua o grupo de sub-redes sng-test por um grupo de sub-redes que exista.

Principais parâmetros
  • --engine— Deve ser valkey ouredis.

  • --engine-version— Se o motor for RedisOSS, deverá ser 3.2.6, 4.0.10 ou posterior.

  • --transit-encryption-enabled— Necessário para autenticação e HIPAA elegibilidade.

  • --auth-token— Exigido para HIPAA elegibilidade. Esse valor deve ser o token correto para esse servidor Valkey ou Redis protegido por token. OSS

  • --cache-subnet-group— Exigido para HIPAA elegibilidade.

Para Linux, macOS ou Unix:

aws elasticache create-replication-group \ --replication-group-id authtestgroup \ --replication-group-description authtest \ --engine redis \ --cache-node-type cache.m4.large \ --num-node-groups 1 \ --replicas-per-node-group 2 \ --transit-encryption-enabled \ --auth-token This-is-a-sample-token \ --cache-subnet-group sng-test

Para Windows:

aws elasticache create-replication-group ^ --replication-group-id authtestgroup ^ --replication-group-description authtest ^ --engine redis ^ --cache-node-type cache.m4.large ^ --num-node-groups 1 ^ --replicas-per-node-group 2 ^ --transit-encryption-enabled ^ --auth-token This-is-a-sample-token ^ --cache-subnet-group sng-test

Modificando o AUTH token em um cluster existente

Para facilitar a atualização da autenticação, você pode modificar o AUTH token usado em um cluster. Você pode fazer essa modificação se a versão do mecanismo for Valkey 7.2 ou superior ou Redis 5.0.6 ou superior. ElastiCache também deve ter a criptografia em trânsito ativada.

A modificação do token de autenticação oferece suporte a duas estratégias: e. ROTATE SET A ROTATE estratégia adiciona um AUTH token adicional ao servidor enquanto retém o token anterior. A SET estratégia atualiza o servidor para suportar apenas um único AUTH token. Faça essas chamadas de modificação com o parâmetro --apply-immediately para aplicar as alterações imediatamente.

Girando o token AUTH

Para atualizar um OSS servidor Valkey ou Redis com um novo AUTHtoken, chame o ModifyReplicationGroup API com o --auth-token parâmetro como o novo AUTH token e o --auth-token-update-strategy com o valor. ROTATE Depois que a ROTATE modificação for concluída, o cluster suportará o AUTH token anterior, além do especificado no auth-token parâmetro. Se nenhum AUTH token tiver sido configurado no grupo de replicação antes da rotação do AUTH token, o cluster suportará o AUTH token especificado no --auth-token parâmetro, além de oferecer suporte à conexão sem autenticação. Consulte Configurando o AUTH token para atualizar o AUTH token necessário usando a estratégia de atualizaçãoSET.

nota

Se você não configurar o AUTH token antes, quando a modificação for concluída, o cluster não suportará nenhum AUTH token além do especificado no parâmetro auth-token.

Se essa modificação for realizada em um servidor que já suporta dois AUTH tokens, o AUTH token mais antigo também será removido durante essa operação. Isso permite que um servidor ofereça suporte a até dois AUTH tokens mais recentes em um determinado momento.

Nesse ponto, você pode continuar atualizando o cliente para usar o AUTH token mais recente. Depois que os clientes forem atualizados, você poderá usar a SET estratégia de rotação de AUTH tokens (explicada na seção a seguir) para começar a usar exclusivamente o novo token.

A AWS CLI operação a seguir modifica um grupo de replicação para girar o token. AUTH This-is-the-rotated-token

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \ --replication-group-id authtestgroup \ --auth-token This-is-the-rotated-token \ --auth-token-update-strategy ROTATE \ --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^ --replication-group-id authtestgroup ^ --auth-token This-is-the-rotated-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately

Configurando o AUTH token

Para atualizar um OSS servidor Valkey ou Redis para oferecer suporte a um único AUTH token necessário, chame a ModifyReplicationGroup API operação com o --auth-token parâmetro com o mesmo valor do último AUTH token e o --auth-token-update-strategy parâmetro com o valor. SET A SET estratégia só pode ser usada com um cluster que tenha 2 AUTH tokens ou 1 AUTH token opcional do uso de uma ROTATE estratégia anterior. Depois que a modificação for concluída, o servidor suportará somente o AUTH token especificado no parâmetro auth-token.

A AWS CLI operação a seguir modifica um grupo de replicação para definir o AUTH token. This-is-the-set-token

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \ --replication-group-id authtestgroup \ --auth-token This-is-the-set-token \ --auth-token-update-strategy SET \ --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^ --replication-group-id authtestgroup ^ --auth-token This-is-the-set-token ^ --auth-token-update-strategy SET ^ --apply-immediately

Habilitando a autenticação em um cluster existente

Para habilitar a autenticação em um OSS servidor Valkey ou Redis existente, chame a ModifyReplicationGroup API operação. Chame ModifyReplicationGroup com o --auth-token parâmetro como o novo token e o --auth-token-update-strategy com o valorROTATE.

Depois que a ROTATE modificação for concluída, o cluster suportará o AUTH token especificado no --auth-token parâmetro, além de oferecer suporte à conexão sem autenticação. Depois que todos os aplicativos cliente forem atualizados para se autenticar no Valkey ou no Redis OSS com o AUTH token, use a SET estratégia para marcar o AUTH token conforme necessário. A ativação da autenticação só é suportada nos OSS servidores Valkey e Redis com a criptografia em trânsito (TLS) ativada.

Migrando de para RBAC AUTH

Se você estiver autenticando usuários com Valkey ou Redis OSS Role-Based Access Control (RBAC), conforme descrito emControle de acesso baseado em funções () RBAC, e quiser migrar para, use os procedimentos a AUTH seguir. Você pode migrar usando o console ouCLI.

Para migrar de RBAC para o AUTH uso do console
  1. Faça login no AWS Management Console e abra o ElastiCache console em https://console.aws.amazon.com/elasticache/.

  2. Na lista no canto superior direito, escolha a AWS região em que o cluster que você deseja modificar está localizado.

  3. No painel de navegação, escolha o mecanismo em execução no cluster que deseja modificar.

    É exibida uma lista dos clusters do mecanismo escolhido.

  4. Na lista de clusters, no cluster que você deseja modificar, escolha seu nome.

  5. Para Actions (Ações), escolha Modify (Modificar).

    A janela Modificar é exibida.

  6. Para Controle de acesso, escolha Acesso de usuário AUTH padrão Valkey ou acesso de usuário OSS AUTHpadrão do Redis.

  7. Em Token Valkey ou AUTH token Redis, defina um novo OSS AUTH token.

  8. Escolha Previsualizar alterações e, na próxima tela, Modificar.

Para migrar de RBAC para o AUTH uso do AWS CLI

Use um dos comandos a seguir para configurar um novo AUTH token opcional para seu grupo de OSS replicação Valkey ou Redis. Observe que um token de autenticação opcional permitirá acesso não autenticado ao grupo de replicação até que o token de autenticação seja marcado como obrigatório, usando a estratégia SET de atualização na etapa a seguir.

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately

Depois de executar o comando acima, você pode atualizar seus OSS aplicativos Valkey ou Redis para se autenticar no grupo de ElastiCache replicação usando o token opcional recém-configurado. AUTH Para concluir a rotação do token Auth, use a estratégia de atualização SET no comando subsequente abaixo. Isso marcará o AUTH token opcional conforme necessário. Quando a atualização do token Auth for concluída, o status do grupo de replicação será exibido ACTIVE e todas as conexões com esse grupo de replicação exigirão autenticação.

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately

Para obter mais informações, consulte Autenticação com o comando Valkey e Redis OSS AUTH.

nota

Se você precisar desativar o controle de acesso em um ElastiCache cluster, consulteDesabilitando o controle de acesso em um cache ElastiCache Valkey ou Redis OSS.