As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Autenticando usuários com listas de controle de acesso () ACLs
Você pode autenticar usuários com listas de controle de acesso (ACLs).
ACLs permitem que você controle o acesso ao cluster agrupando usuários. Essas listas de controle de acesso são projetadas como uma maneira de organizar o acesso aos clusters.
Com ACLs, você cria usuários e atribui a eles permissões específicas usando uma string de acesso, conforme descrito na próxima seção. Você atribui os usuários a listas de controle de acesso alinhadas a uma função específica (administradores, recursos humanos) que, em seguida, são implantadas em um ou mais clusters do MemoryDB. Ao fazer isso, você pode estabelecer limites de segurança entre clientes usando o mesmo cluster ou clusters do MemoryDB e impedir que os clientes acessem os dados uns dos outros.
ACLs são projetados para oferecer suporte à introdução da [ACL](https://valkey.io/docs/topics/acl/) no Redis OSS 6. Quando você usa ACLs com seu cluster MemoryDB, há algumas limitações:
+ Não é possível especificar senhas em uma string de acesso. Você define senhas com [CreateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_CreateUser.html)nossas [UpdateUser](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_UpdateUser.html)chamadas.
+ Para direitos de usuário, você passa `on` e `off` como parte da string de acesso. Se nenhum deles for especificado na string de acesso, o usuário é atribuído com `off` e não tem direitos de acesso ao cluster.
+ Você não pode usar comandos proibidos. Se você especificar um comando proibido, será emitida uma exceção. Para obter uma lista desses comandos, consulte [Comandos restritos](restrictedcommands.md).
+ Não é possível usar o comando `reset` como parte de uma string de acesso. Você especifica as senhas com parâmetros de API e o MemoryDB gerencia as senhas. Assim, você não pode usar `reset` porque ele removeria todas as senhas de um usuário.
+ O Redis OSS 6 apresenta o comando [ACL LIST](https://valkey.io/commands/acl-list). Esse comando retorna uma lista de usuários junto com as regras da ACL aplicadas a cada usuário. O MemoryDB oferece suporte ao comando `ACL LIST`, mas não inclui suporte para hashes de senha como o Redis OSS faz. Com o MemoryDB, você pode usar a [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html)operação para obter informações semelhantes, incluindo as regras contidas na string de acesso. No entanto, [DescribeUsers](https://docs.aws.amazon.com/memorydb/latest/APIReference/API_DescribeUsers.html)não recupera a senha do usuário.
Outros comandos somente de leitura compatíveis com o MemoryDB incluem [ACL WHOAMI](https://valkey.io/commands/acl-whoami), [ACL USERS](https://valkey.io/commands/acl-users) e [ACL CAT](https://valkey.io/commands/acl-cat). O MemoryDB não oferece suporte a nenhum outro comando ACL baseado em gravação.
O uso ACLs com o MemoryDB é descrito em mais detalhes a seguir.
**Topics**
+ [
## Especificação de permissões usando uma string de acesso
](#access-string)
+ [
## Recursos de pesquisa vetorial
](#access-vss)
+ [
## Aplicação ACLs a um cluster para MemoryDB
](#rbac-using)
## Especificação de permissões usando uma string de acesso
Para especificar permissões para um cluster MemoryDB, você cria uma string de acesso e a atribui a um usuário usando o AWS CLI ou. Console de gerenciamento da AWS
As cadeias de caracteres de acesso são definidas como uma lista de regras delimitadas por espaço que são aplicadas ao usuário. Eles definem quais comandos um usuário pode executar e em quais chaves um usuário pode operar. Para executar um comando, um usuário deve ter acesso ao comando que está sendo executado e todas as chaves que estão sendo acessadas pelo comando. As regras são aplicadas da esquerda para a direita cumulativamente, e uma string mais simples pode ser usada em vez da fornecida se houver redundâncias na string fornecida.
Para obter informações sobre a sintaxe das regras ACL, consulte [ACL](https://valkey.io/topics/acl).
No exemplo a seguir, a string de acesso representa um usuário ativo com acesso a todas as chaves e comandos disponíveis.
`on ~* &* +@all`
A sintaxe da cadeia de acesso é dividida da seguinte forma:
+ `on`: o usuário é um usuário ativo.
+ `~*`: o acesso é dado a todas as chaves disponíveis.
+ `&*`: o acesso é dado a todos os canais pubsub.
+ `+@all`: o acesso é dado a todos os comandos disponíveis.
As configurações anteriores são as menos restritivas. Você pode modificar essas configurações para torná-las mais seguras.
No exemplo a seguir, a string de acesso representa um usuário com acesso restrito ao acesso de leitura em chaves que começam com o keyspace "app::"
`on ~app::* -@all +@read`
Você pode refinar mais essas permissões listando comandos aos quais o usuário tem acesso:
`+command1`: o acesso do usuário aos comandos é limitado a *`command1`*.
`+@category`: o acesso do usuário é limitado a uma categoria de comandos.
Para obter informações sobre como atribuir uma string de acesso a um usuário, consulte [Criação de usuários e listas de controle de acesso com o console e a CLI](#users-management).
Se você estiver migrando uma workload existente para o MemoryDB, poderá recuperar a string de acesso chamando `ACL LIST`, excluindo o usuário e quaisquer hashes de senha.
## Recursos de pesquisa vetorial
Para a [Pesquisa vetorial](vector-search.md), todos os comandos de pesquisa pertencem à categoria `@search`, e as categorias `@read`, `@write`, `@fast` e `@slow` existentes são atualizadas para incluir comandos de pesquisa. Se um usuário não tiver acesso a uma categoria, ele não terá acesso aos comandos dentro dela. Por exemplo, se ele não tiver acesso a `@search`, não poderá executar comandos relacionados a pesquisas.
A tabela a seguir indica o mapeamento de comandos de pesquisa as categorias apropriadas.
| Comandos do VSS | @read | @write | @fast | @slow |
| --- | --- | --- | --- | --- |
| FT.CREATE | | S | S | |
| FT.DROPINDEX | | S | S | |
| FT.LIST | S | | | S |
| FT.INFO | S | | S | |
| FT.SEARCH | S | | | S |
| FT.AGGREGATE | S | | | S |
| FT.PROFILE | S | | | S |
| FT.ALIASADD | | S | S | |
| FT.ALIASDEL | | S | S | |
| FT.ALIASUPDATE | | S | S | |
| FT.\$1ALIASLIST | S | | | S |
| FT.EXPLAIN | S | | S | |
| FT.EXPLAINCLI | S | | S | |
| FT.CONFIG | S | | S | |
## Aplicação ACLs a um cluster para MemoryDB
Para usar o MemoryDB ACLs, siga as seguintes etapas:
1. Crie um ou mais usuários.
1. Crie uma ACL e adicione usuários à lista.
1. Atribua a ACL a um cluster.
Essas etapas estão descritas em detalhes a seguir.
**Topics**
+ [
### Criação de usuários e listas de controle de acesso com o console e a CLI
](#users-management)
+ [
### Gerenciamento de listas de controle de acesso com o console e a CLI
](#user-groups)
+ [
### Atribuição de listas de controle de acesso a clusters
](#users-groups-to-clusterss)
### Criação de usuários e listas de controle de acesso com o console e a CLI
As informações do usuário para ACLs usuários são um nome de usuário e, opcionalmente, uma senha e uma string de acesso. A string de acesso fornece o nível de permissão em chaves e comandos. O nome é exclusivo para o usuário e é passado para o mecanismo.
Verifique se as permissões do usuário fornecidas fazem sentido com a finalidade pretendida da ACL. Por exemplo, se você criar uma ACL chamada `Administrators`, qualquer usuário que você adicionar a esse grupo deve ter sua string de acesso definida para acesso total a chaves e comandos. Para usuários em uma ACL de `e-commerce`, você pode definir suas strings de acesso para somente leitura.
O MemoryDB configura automaticamente um usuário padrão por conta com um nome de usuário `"default"`. Ele não será associado a nenhum cluster, a menos que seja explicitamente adicionado a uma ACL. Você não pode excluir ou modificar esse usuário. Esse usuário destina-se à compatibilidade com o comportamento padrão das versões anteriores do Redis OSS e tem uma string de acesso que permite chamar todos os comandos e acessar todas as chaves.
Uma ACL imutável de “acesso aberto” será criada para cada conta que contém o usuário padrão. Essa é a única ACL da qual o usuário padrão pode se tornar membro. Ao criar um cluster, você deve selecionar uma ACL para associar ao cluster. Embora você tenha a opção de aplicar a ACL de “acesso aberto” com o usuário padrão, é altamente recomendável criar uma ACL com usuários que tenham permissões restritas às suas necessidades comerciais.
Os clusters que não têm o TLS ativado devem usar a ACL de “acesso aberto” para fornecer uma autenticação aberta.
ACLs pode ser criado sem usuários. Uma ACL vazia não teria acesso a um cluster e só pode ser associada a clusters habilitados para TLS.
Ao criar um usuário, você pode configurar até duas senhas. Quando você modifica uma senha, todas as conexões existentes para os clusters são mantidas.
Em particular, esteja ciente dessas restrições de senha de usuário ao usar ACLs o MemoryDB:
+ As senhas devem ter de 16 a 128 caracteres imprimíveis.
+ Os seguintes caracteres não alfanuméricos não são permitidos: `,` `""` `/` `@`.
#### Gerenciamento de usuários com o console e a CLI
##### Criação de usuários (console)
**Para criar usuários no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Usuários**.
1. Escolha **Criar usuário**
1. Na página **Criar usuário**, insira um **Nome**.
As restrições de nomenclatura de cluster são as seguintes:
+ Devem conter 1 a 40 caracteres alfanuméricos ou hifens.
+ Deve começar com uma letra.
+ Não podem conter dois hifens consecutivos.
+ Não podem terminar com um hífen.
1. Em **Senhas**, você pode inserir até duas senhas.
1. Em **String de acesso**, insira uma cadeia de caracteres de acesso. A string de acesso define o nível de permissão para quais chaves e comandos o usuário é permitido.
1. Para **tags**, você pode, opcionalmente, aplicar tags para pesquisar e filtrar seus usuários ou monitorar seus AWS custos.
1. Escolha **Criar**.
##### Criando um usuário usando o AWS CLI
**Para criar um usuário usando a CLI**
+ Use o comando [create-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/create-user.html) para criar um usuário.
Para Linux, macOS ou Unix:
```
aws memorydb create-user \
--user-name user-name-1 \
--access-string "~objects:* ~items:* ~public:*" \
--authentication-mode \
Passwords="abc",Type=password
```
Para Windows:
```
aws memorydb create-user ^
--user-name user-name-1 ^
--access-string "~objects:* ~items:* ~public:*" ^
--authentication-mode \
Passwords="abc",Type=password
```
##### Modificação de um usuário (console)
**Para modificar usuários no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Usuários**.
1. Escolha o botão de opção ao lado do usuário que você deseja modificar e escolha **Ações**->**Modificar**
1. Se você quiser modificar uma senha, escolha o botão de opção **Modificar senhas**. Observe que, se você tiver duas senhas, deverá inserir as duas ao modificar uma delas.
1. Se você estiver atualizando a string de acesso, insira a nova.
1. Escolha **Modificar**.
##### Modificando um usuário usando AWS CLI
**Para modificar um usuário usando a CLI**
1. Use o comando [update-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-user.html) para modificar um usuário.
1. Quando um usuário é modificado, as listas de controle de acesso associadas ao usuário são atualizadas, juntamente com quaisquer clusters associados à ACL. Todas as conexões existentes são mantidas. Veja os exemplos a seguir.
Para Linux, macOS ou Unix:
```
aws memorydb update-user \
--user-name user-name-1 \
--access-string "~objects:* ~items:* ~public:*"
```
Para Windows:
```
aws memorydb update-user ^
--user-name user-name-1 ^
--access-string "~objects:* ~items:* ~public:*"
```
##### Visualizar detalhes do usuário (console)
**Para visualizar os detalhes do usuário no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Usuários**.
1. Escolha o usuário em **Nome de usuário** ou use a caixa de pesquisa para localizar o usuário.
1. Em **Configurações do usuário**, você pode revisar a string de acesso, a contagem de senhas, o status e o nome do recurso da Amazon (ARN) do usuário.
1. Em **Listas de controle de acesso (ACL)**, você pode revisar a ACL à qual o usuário pertence.
1. Em **Tags**, você pode revisar todas as tags associadas ao usuário.
##### Visualizando detalhes do usuário usando o AWS CLI
Use o comando [describe-users](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-users.html) para ver os detalhes de um usuário.
```
aws memorydb describe-users \
--user-name my-user-name
```
##### Exclusão de um usuário (Console)
**Para excluir usuários no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Usuários**.
1. Escolha o botão de opção ao lado do usuário que você deseja modificar e escolha **Ações**->**Excluir**
1. Para confirmar, digite `delete` na caixa de texto de confirmação e, em seguida, selecione **Excluir**.
1. Para cancelar, escolha **Cancelar**.
##### Excluindo um usuário usando o AWS CLI
**Para excluir um usuário usando a CLI**
+ Use o comando [delete-user](https://docs.aws.amazon.com/cli/latest/reference/memorydb/delete-user.html) para excluir um usuário.
A conta é excluída e removida de todas as listas de controle de acesso às quais pertence. Veja um exemplo do a seguir:
Para Linux, macOS ou Unix:
```
aws memorydb delete-user \
--user-name user-name-2
```
Para Windows:
```
aws memorydb delete-user ^
--user-name user-name-2
```
### Gerenciamento de listas de controle de acesso com o console e a CLI
Você pode criar listas de controle de acesso para organizar e controlar o acesso de usuários a um ou mais clusters, conforme mostrado a seguir.
Use o procedimento a seguir para gerenciar as listas de controle de acesso usando o console.
#### Criação de uma lista de controle de acesso (ACL) (console)
**Como criar uma Lista de controle de acesso usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Listas de controle de acesso (ACL)**.
1. Escolha **Criar ACL**.
1. Na página **Criar lista de controle de acesso (ACL)**, insira o nome da ACL.
As restrições de nomenclatura de cluster são as seguintes:
+ Devem conter 1 a 40 caracteres alfanuméricos ou hifens.
+ Deve começar com uma letra.
+ Não podem conter dois hifens consecutivos.
+ Não podem terminar com um hífen.
1. Em **Usuários selecionados**, siga um destes procedimentos:
1. Crie um novo usuário selecionando **Criar usuário**
1. Adicione usuários escolhendo **Gerenciar** e, em seguida, selecionando usuários na caixa de diálogo **Gerenciar usuários**, depois selecione **Escolher**.
1. Para **tags**, você pode, opcionalmente, aplicar tags para pesquisar e filtrar ACLs ou rastrear seus AWS custos.
1. Escolha **Criar**.
#### Criando uma Lista de Controle de Acesso (ACL) usando o AWS CLI
Use os procedimentos a seguir para criar uma lista de controle de acesso usando a CLI.
**Para criar uma nova ACL e adicionar um usuário usando a CLI**
+ Use o comando [create-acl](https://docs.aws.amazon.com/cli/latest/reference/memorydb/create-acl.html) para criar uma ACL.
Para Linux, macOS ou Unix:
```
aws memorydb create-acl \
--acl-name "new-acl-1" \
--user-names "user-name-1" "user-name-2"
```
Para Windows:
```
aws memorydb create-acl ^
--acl-name "new-acl-1" ^
--user-names "user-name-1" "user-name-2"
```
#### Modificação de uma lista de controle de acesso (ACL) (console)
**Para modificar uma lista de controle de acesso usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Listas de controle de acesso (ACL)**.
1. Escolha a ACL que você deseja modificar e escolha **Modificar**
1. Na página **Modificar**, em **Usuários selecionados**, faça o seguinte:
1. Crie um novo usuário escolhendo **Criar usuário** para adicionar à ACL.
1. Adicione ou remova usuários escolhendo **Gerenciar** e, em seguida, selecionando ou desmarcando usuários na caixa de diálogo **Gerenciar usuários** e depois, selecionando **Escolher**.
1. Na página **Criar lista de controle de acesso (ACL)**, insira o nome da ACL.
As restrições de nomenclatura de cluster são as seguintes:
+ Devem conter 1 a 40 caracteres alfanuméricos ou hifens.
+ Deve começar com uma letra.
+ Não podem conter dois hifens consecutivos.
+ Não podem terminar com um hífen.
1. Em **Usuários selecionados**, siga um destes procedimentos:
1. Crie um novo usuário selecionando **Criar usuário**
1. Adicione usuários escolhendo **Gerenciar** e, em seguida, selecionando usuários na caixa de diálogo **Gerenciar usuários**, depois selecione **Escolher**.
1. Escolha **Modificar** para salvar suas alterações ou **Cancelar** para descartá-las.
#### Modificando uma Lista de Controle de Acesso (ACL) usando o AWS CLI
**Para modificar uma ACL adicionando novos usuários ou removendo membros atuais usando a CLI**
+ Use o comando [update-acl](https://docs.aws.amazon.com/cli/latest/reference/memorydb/update-acl.html) para modificar uma ACL.
Para Linux, macOS ou Unix:
```
aws memorydb update-acl --acl-name new-acl-1 \
--user-names-to-add user-name-3 \
--user-names-to-remove user-name-2
```
Para Windows:
```
aws memorydb update-acl --acl-name new-acl-1 ^
--user-names-to-add user-name-3 ^
--user-names-to-remove user-name-2
```
**nota**
Quaisquer conexões abertas pertencentes a um usuário removido de uma ACL são encerradas por este comando.
#### Visualização de detalhes da Lista de controle de acesso (ACL) (console)
**Para ver os detalhes da ACL no console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Listas de controle de acesso (ACL)**.
1. Escolha a ACL sob **nome da ACL** ou use a caixa de pesquisa para localizar a ACL.
1. Em **Usuários**, você pode revisar a lista de usuários associados à ACL.
1. Em **Clusters associados**, você pode revisar o cluster ao qual a ACL pertence.
1. Em **Tags**, você pode revisar todas as tags associadas à ACL.
#### Exibindo listas de controle de acesso (ACL) usando o AWS CLI
Use o comando [describe-acls](https://docs.aws.amazon.com/cli/latest/reference/memorydb/describe-acls.html) para ver detalhes de uma ACL.
```
aws memorydb describe-acls \
--acl-name test-group
```
#### Excluindo uma Lista de controle de acesso (ACL) (console)
**Para excluir uma lista de controle de acesso usando o console**
1. Faça login no Console de gerenciamento da AWS e abra o console do MemoryDB em. [https://console.aws.amazon.com/memorydb/](https://console.aws.amazon.com/memorydb/)
1. No painel de navegação à esquerda, escolha **Listas de controle de acesso (ACL)**.
1. Escolha a ACL que você deseja modificar e, em seguida, escolha **Excluir**
1. Na página **Excluir**, insira `delete` na caixa de confirmação e escolha **Excluir**; ou **Cancelar** para evitar a exclusão da ACL.
A própria ACL, não os usuários pertencentes ao grupo, é excluída.
#### Excluindo uma Lista de Controle de Acesso (ACL) usando o AWS CLI
**Para excluir uma ACL usando a CLI**
+ Use o comando [delete-acl](https://docs.aws.amazon.com/cli/latest/reference/memorydb/delete-acl.html) para excluir uma ACL.
Para Linux, macOS ou Unix:
```
aws memorydb delete-acl /
--acl-name
```
Para Windows:
```
aws memorydb delete-acl ^
--acl-name
```
Os exemplos anteriores retornam a seguinte resposta.
```
aws memorydb delete-acl --acl-name "new-acl-1"
{
"ACLName": "new-acl-1",
"Status": "deleting",
"EngineVersion": "6.2",
"UserNames": [
"user-name-1",
"user-name-3"
],
"clusters": [],
"ARN":"arn:aws:memorydb:us-east-1:493071037918:acl/new-acl-1"
}
```
### Atribuição de listas de controle de acesso a clusters
Depois de criar uma ACL e adicionar usuários, a etapa final da implementação ACLs é atribuir a ACL a um cluster.
#### Atribuindo listas de controle de acesso a clusters usando o console
Para adicionar uma ACL a um cluster usando o Console de gerenciamento da AWS, consulte[Criação de um cluster do MemoryDB](getting-started.md#clusters.create).
#### Atribuindo listas de controle de acesso a clusters usando o AWS CLI
A AWS CLI operação a seguir cria um cluster com a criptografia em trânsito (TLS) ativada e o **acl-name** parâmetro com o valor`my-acl-name`. Substitua o grupo de sub-redes `subnet-group` por um grupo de sub-redes que exista.
**Principais parâmetros**
+ **--engine-version**: deve ser 6.2.
+ **--tls-enabled**: usado para autenticação e para associar uma ACL.
+ **--acl-name**: esse valor fornece listas de controle de acesso compostas por usuários com permissões de acesso especificadas para o cluster.
Para Linux, macOS ou Unix:
```
aws memorydb create-cluster \
--cluster-name "new-cluster" \
--description "new-cluster" \
--engine-version "6.2" \
--node-type db.r6g.large \
--tls-enabled \
--acl-name "new-acl-1" \
--subnet-group-name "subnet-group"
```
Para Windows:
```
aws memorydb create-cluster ^
--cluster-name "new-cluster" ^
--cluster-description "new-cluster" ^
--engine-version "6.2" ^
--node-type db.r6g.large ^
--tls-enabled ^
--acl-name "new-acl-1" ^
--subnet-group-name "subnet-group"
```
A AWS CLI operação a seguir modifica um cluster com a criptografia em trânsito (TLS) ativada e o **acl-name** parâmetro com o valor. `new-acl-2`
Para Linux, macOS ou Unix:
```
aws memorydb update-cluster \
--cluster-name cluster-1 \
--acl-name "new-acl-2"
```
Para Windows:
```
aws memorydb update-cluster ^
--cluster-name cluster-1 ^
--acl-name "new-acl-2"
```