设置 ElastiCache
要使用 ElastiCache Web 服务,请按照以下步骤操作。
注册 AWS 账户
如果您还没有 AWS 账户,请完成以下步骤来创建一个。
注册 AWS 账户
打开 https://portal.aws.amazon.com/billing/signup
。 按照屏幕上的说明进行操作。
在注册时,将接到一通电话,要求使用电话键盘输入一个验证码。
当您注册 AWS 账户时,系统将会创建一个 AWS 账户根用户。根用户有权访问该账户中的所有 AWS 服务 和资源。作为安全最佳实践,请为用户分配管理访问权限,并且只使用根用户来执行需要根用户访问权限的任务。
注册过程完成后,AWS 会向您发送一封确认电子邮件。在任何时候,您都可以通过转至 https://aws.amazon.com/
创建具有管理访问权限的用户
注册 AWS 账户 后,请保护好您的 AWS 账户根用户,启用 AWS IAM Identity Center,并创建一个管理用户,以避免使用根用户执行日常任务。
保护您的 AWS 账户根用户
-
选择根用户并输入您的 AWS 账户电子邮件地址,以账户拥有者身份登录 AWS Management Console
。在下一页上,输入您的密码。 要获取使用根用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的以根用户身份登录。
-
为您的根用户启用多重身份验证 (MFA)。
有关说明,请参阅《IAM 用户指南》中的为 AWS 账户 根用户启用虚拟 MFA 设备(控制台)。
创建具有管理访问权限的用户
-
启用 IAM Identity Center。
有关说明,请参阅《AWS IAM Identity Center 用户指南》中的启用 AWS IAM Identity Center。
-
在 IAM Identity Center 中,为用户授予管理访问权限。
有关如何使用 IAM Identity Center 目录 作为身份源的教程,请参阅《AWS IAM Identity Center 用户指南》中的使用默认的 IAM Identity Center 目录 配置用户访问权限。
以具有管理访问权限的用户身份登录
-
要使用您的 IAM Identity Center 用户身份登录,请使用您在创建 IAM Identity Center 用户时发送到您的电子邮件地址的登录网址。
要获取使用 IAM Identity Center 用户登录方面的帮助,请参阅《AWS 登录 用户指南》中的登录 AWS 访问门户。
将访问权限分配给其他用户
授权以编程方式访问
如果用户需要在 AWS Management Console 之外与 AWS 交互,则需要编程式访问权限。授予编程式访问权限的方法取决于访问 AWS 的用户类型。
要向用户授予编程式访问权限,请选择以下选项之一。
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
|---|---|---|
|
人力身份 (在 IAM Identity Center 中管理的用户) |
使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
| IAM | 使用临时凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 | 按照《IAM 用户指南》中将临时凭证用于 AWS 资源中的说明进行操作。 |
| IAM | (不推荐使用) 使用长期凭证签署向 AWS CLI、AWS SDK 或 AWS API 发出的编程请求。 |
按照您希望使用的界面的说明进行操作。
|
设置权限(仅限新的 ElastiCache 用户)
要提供访问权限,请为您的用户、组或角色添加权限:
-
AWS IAM Identity Center 中的用户和群组:
创建权限集合。按照《AWS IAM Identity Center 用户指南》中创建权限集的说明进行操作。
-
通过身份提供商在 IAM 中托管的用户:
创建适用于身份联合验证的角色。按照《IAM 用户指南》中为第三方身份提供商创建角色(联合身份验证)的说明进行操作。
-
IAM 用户:
-
创建您的用户可以担任的角色。按照《IAM 用户指南》中为 IAM 用户创建角色的说明进行操作。
-
(不推荐使用)将策略直接附加到用户或将用户添加到用户组。按照《IAM 用户指南》中向用户添加权限(控制台)中的说明进行操作。
-
Amazon ElastiCache 会代表您创建并使用服务相关角色以预置资源并访问其他 AWS 资源和服务。要使 ElastiCache 为您创建服务相关角色,请使用名为 AmazonElastiCacheFullAccess 的 AWS 托管式策略。此角色预配置了该服务您代表您创建服务相关角色所需的权限。
您可能决定不使用默认策略,而是使用自定义托管策略。在这种情况下,请确保您具有调用 iam:createServiceLinkedRole 的权限或创建了 ElastiCache 服务相关角色。
有关更多信息,请参阅下列内容:
设置 EC2
您需要设置一个 EC2 实例,并从该实例连接到缓存。
如果您还没有 EC2 实例,请在此处了解如何设置 EC2 实例:EC2 入门。
您的 EC2 实例必须与缓存位于同一 VPC,并具有相同的安全组设置。默认情况下,Amazon ElastiCache 会在您的默认 VPC 中创建缓存并使用默认安全组。在学习本教程时,请确保您的 EC2 实例位于默认 VPC 中并且具有默认安全组。
授予从 Amazon VPC 安全组到您的缓存的网络访问权限
ElastiCache 自行设计的集群使用端口 6379 来执行 Valkey 和 Redis OSS 命令,而 ElastiCache 无服务器同时使用端口 6379 和端口 6380。为了从您的 EC2 实例成功连接并执行 Valkey 或 Redis OSS 命令,您的安全组必须根据需要允许访问这些端口。
ElastiCache(Memcached)使用 11211 和 11212 端口接受 Memcached 命令。为了从您的 EC2 实例成功连接并执行 Memcached 命令,您的安全组必须允许访问这些端口。
登录到 AWS Command Line Interface 并打开 Amazon EC2 控制台。
在导航窗格中的 Network & Security 下,选择 Security Groups。
从安全组列表中,为 Amazon VPC 选择安全组。除非创建安全组供 ElastiCache 使用,否则此安全组将命名为 default。
选择“入站”选项卡,然后:
-
选择 Edit(编辑)。
-
选择 添加规则。
-
在“类型”列中,选择自定义 TCP 规则。
-
如果使用 Valkey 或 Redis OSS,则在端口范围框中键入
6379。如果使用 Memcached,则在端口范围框中键入
11211。 -
在源框中,选择端口范围为(0.0.0.0/0)的任何位置,这样,从您 Amazon VPC 中启动的任何 Amazon EC2 实例都可以连接到您的缓存。
-
如果您使用的是 ElastiCache Serverless,请选择添加规则添加另一条规则。
-
在 Type 列中,选择 Custom TCP rule。
-
如果使用 ElastiCache(Redis OSS),则在端口范围框中键入
6380。如果使用 ElastiCache(Memcached),则在端口范围框中键入
11212。 -
在源框中,选择端口范围为(0.0.0.0/0)的任何位置,这样,从您 Amazon VPC 中启动的任何 Amazon EC2 实例都可以连接到您的缓存。
-
选择保存
-
下载并设置命令行访问权限
下载并安装 valkey-cli 实用工具。
如果您使用 ElastiCache with Valkey,可能会发现 Valkey-cli 实用工具非常有用。如果您使用带有 redis-cli 的 ElastiCache(Redis OSS),请考虑切换到 valkey-cli,因为它也适用于 Redis OSS。
使用您选择的连接实用工具连接到 Amazon EC2 实例。有关如何连接到 Amazon EC2 实例的说明,请参阅 Amazon EC2 入门指南。
根据您的设置运行相应命令,下载并安装 valkey-cli 实用工具。
Amazon Linux 2023
sudo yum install redis6 -yAmazon Linux 2
sudo amazon-linux-extras install epel -y sudo yum install gcc jemalloc-devel openssl-devel tcl tcl-devel -y wget https://github.com/valkey-io/valkey/archive/refs/tags/7.2.6.tar.gz tar xvzf valkey-7.2.6.tar.gz cd valkey-7.2.6 make BUILD_TLS=yes
注意
-
当您安装 redis6 程序包时,它会安装 redis6-cli 并默认提供加密支持。
-
安装 valkey-cli 或 redis-cli 时,务必为 TLS 提供生成支持。只有启用 TLS 后,才能访问 ElastiCache 无服务器。
-
如果您要连接到未加密的集群,则不需要
Build_TLS=yes选项。
