本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 IAM 进行身份验证
概述
使用IAM身份验证,当您的集群配置为使用 Valkey 或 Redis 版本 7 或更高OSS版本时,您可以使用 AWS IAM身份验证与 MemoryDB 的连接。这使您可以增强安全模型并简化许多管理安全任务。通过IAM身份验证,您可以为每个 MemoryDB 集群和 MemoryDB 用户配置精细的访问控制,并遵循最低权限原则。IAMMemoryDB 的身份验证通过在或命令中提供短期IAM身份验证令牌而不是长期存在的 MemoryDB 用户密码来起作用。AUTH HELLO有关IAM身份验证令牌的更多信息,请参阅《 AWS 通用参考指南》中的签名版本 4 签名过程和下面的代码示例。
您可以使用IAM身份及其相关策略来进一步限制 Valkey 或 Redis OSS 的访问权限。您还可以直接向来自联合身份提供商的用户授予对 MemoryDB 集群的访问权限。
要 AWS IAM与 MemoryDB 一起使用,首先需要创建一个身份验证模式设置为 MemoryDB 用户IAM,然后才能创建或重用身份。IAM该IAM身份需要关联的策略才能向 MemoryDB 集群和 MemoryDB 用户授予memorydb:Connect操作权限。配置完成后,您可以使用IAM用户或角色的 AWS 凭据创建IAM身份验证令牌。最后,在连接到 MemoryDB 集群节点时,您需要在 Valkey 或 Redis OSS 客户端中提供短期IAM身份验证令牌作为密码。支持凭证提供程序的客户端可以自动为每个新连接生成临时证书。MemoryDB 将对IAM启用了 MemoryDB 用户的连接请求进行IAM身份验证,并将使用验证连接请求。IAM
限制
使用IAM身份验证时,存在以下限制:
IAM使用 Valkey 或 Redis OSS 引擎 7.0 或更高版本时可以使用身份验证。
IAM身份验证令牌的有效期为 15 分钟。对于长期连接,我们建议使用支持凭证提供程序接口的 Redis OSS 客户端。
IAM经过身份验证的 MemoryDB 连接将在 12 小时后自动断开。通过发送带有新IAM身份验证令牌的
AUTH或HELLO命令,可以将连接延长 12 小时。IAM
MULTI EXEC命令中不支持身份验证。目前,IAM身份验证不支持所有全局条件上下文密钥。有关全局条件上下文键的更多信息,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥。
设置
要设置IAM身份验证:
创建集群
aws memorydb create-cluster \ --cluster-name cluster-01 \ --description "MemoryDB IAM auth application" --node-type db.r6g.large \ --engine-version 7.0 \ --acl-name open-access为您的角色创建IAM信任政策文档,如下所示,允许您的账户担任新角色。将策略保存到名为 trust-policy.json 的文件中。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole" } }创建IAM策略文档,如下所示。将策略保存到名为 policy.json 的文件中。
{ "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "memorydb:connect" ], "Resource" : [ "arn:aws:memorydb:us-east-1:123456789012:cluster/cluster-01", "arn:aws:memorydb:us-east-1:123456789012:user/iam-user-01" ] } ] }创建IAM角色。
aws iam create-role \ --role-name "memorydb-iam-auth-app" \ --assume-role-policy-document file://trust-policy.json创建IAM策略。
aws iam create-policy \ --policy-name "memorydb-allow-all" \ --policy-document file://policy.json将IAM策略附加到该角色。
aws iam attach-role-policy \ --role-name "memorydb-iam-auth-app" \ --policy-arn "arn:aws:iam::123456789012:policy/memorydb-allow-all"创建新的IAM启用用户。
aws memorydb create-user \ --user-name iam-user-01 \ --authentication-mode Type=iam \ --access-string "on ~* +@all"创建ACL并附加该用户。
aws memorydb create-acl \ --acl-name iam-acl-01 \ --user-names iam-user-01 aws memorydb update-cluster \ --cluster-name cluster-01 \ --acl-name iam-acl-01
连接
使用令牌作为密码进行连接
您首先需要使用 AWS SigV4 预签名请求生成短期IAM身份验证令牌。之后,在连接到 MemoryDB 集群时提供IAM身份验证令牌作为密码,如下例所示。
String userName = "insert user name" String clusterName = "insert cluster name" String region = "insert region" // Create a default AWS Credentials provider. // This will look for AWS credentials defined in environment variables or system properties. AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain(); // Create an IAM authentication token request and signed it using the AWS credentials. // The pre-signed request URL is used as an IAM authentication token for MemoryDB. IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region); String iamAuthToken = iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials()); // Construct URL with IAM Auth credentials provider RedisURI redisURI = RedisURI.builder() .withHost(host) .withPort(port) .withSsl(ssl) .withAuthentication(userName, iamAuthToken) .build(); // Create a new Lettuce client RedisClusterClient client = RedisClusterClient.create(redisURI); client.connect();
以下为 IAMAuthTokenRequest 的定义。
public class IAMAuthTokenRequest { private static final HttpMethodName REQUEST_METHOD = HttpMethodName.GET; private static final String REQUEST_PROTOCOL = "http://"; private static final String PARAM_ACTION = "Action"; private static final String PARAM_USER = "User"; private static final String ACTION_NAME = "connect"; private static final String SERVICE_NAME = "memorydb"; private static final long TOKEN_EXPIRY_SECONDS = 900; private final String userName; private final String clusterName; private final String region; public IAMAuthTokenRequest(String userName, String clusterName, String region) { this.userName = userName; this.clusterName = clusterName; this.region = region; } public String toSignedRequestUri(AWSCredentials credentials) throws URISyntaxException { Request<Void> request = getSignableRequest(); sign(request, credentials); return new URIBuilder(request.getEndpoint()) .addParameters(toNamedValuePair(request.getParameters())) .build() .toString() .replace(REQUEST_PROTOCOL, ""); } private <T> Request<T> getSignableRequest() { Request<T> request = new DefaultRequest<>(SERVICE_NAME); request.setHttpMethod(REQUEST_METHOD); request.setEndpoint(getRequestUri()); request.addParameters(PARAM_ACTION, Collections.singletonList(ACTION_NAME)); request.addParameters(PARAM_USER, Collections.singletonList(userName)); return request; } private URI getRequestUri() { return URI.create(String.format("%s%s/", REQUEST_PROTOCOL, clusterName)); } private <T> void sign(SignableRequest<T> request, AWSCredentials credentials) { AWS4Signer signer = new AWS4Signer(); signer.setRegionName(region); signer.setServiceName(SERVICE_NAME); DateTime dateTime = DateTime.now(); dateTime = dateTime.plus(Duration.standardSeconds(TOKEN_EXPIRY_SECONDS)); signer.presignRequest(request, credentials, dateTime.toDate()); } private static List<NameValuePair> toNamedValuePair(Map<String, List<String>> in) { return in.entrySet().stream() .map(e -> new BasicNameValuePair(e.getKey(), e.getValue().get(0))) .collect(Collectors.toList()); } }
使用凭证提供程序进行连接
以下代码显示了如何使用身份验证凭据提供程序通过 MemoryDB 进行IAM身份验证。
String userName = "insert user name" String clusterName = "insert cluster name" String region = "insert region" // Create a default AWS Credentials provider. // This will look for AWS credentials defined in environment variables or system properties. AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain(); // Create an IAM authentication token request. Once this request is signed it can be used as an // IAM authentication token for MemoryDB. IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region); // Create a credentials provider using IAM credentials. RedisCredentialsProvider redisCredentialsProvider = new RedisIAMAuthCredentialsProvider( userName, iamAuthTokenRequest, awsCredentialsProvider); // Construct URL with IAM Auth credentials provider RedisURI redisURI = RedisURI.builder() .withHost(host) .withPort(port) .withSsl(ssl) .withAuthentication(redisCredentialsProvider) .build(); // Create a new Lettuce cluster client RedisClusterClient client = RedisClusterClient.create(redisURI); client.connect();
以下是 Lettuce 集群客户端的示例,该客户端将封装在凭证提供程序IAMAuthTokenRequest中,以便在需要时自动生成临时证书。
public class RedisIAMAuthCredentialsProvider implements RedisCredentialsProvider { private static final long TOKEN_EXPIRY_SECONDS = 900; private final AWSCredentialsProvider awsCredentialsProvider; private final String userName; private final IAMAuthTokenRequest iamAuthTokenRequest; private final Supplier<String> iamAuthTokenSupplier; public RedisIAMAuthCredentialsProvider(String userName, IAMAuthTokenRequest iamAuthTokenRequest, AWSCredentialsProvider awsCredentialsProvider) { this.userName = userName; this.awsCredentialsProvider = awsCredentialsProvider; this.iamAuthTokenRequest = iamAuthTokenRequest; this.iamAuthTokenSupplier = Suppliers.memoizeWithExpiration(this::getIamAuthToken, TOKEN_EXPIRY_SECONDS, TimeUnit.SECONDS); } @Override public Mono<RedisCredentials> resolveCredentials() { return Mono.just(RedisCredentials.just(userName, iamAuthTokenSupplier.get())); } private String getIamAuthToken() { return iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials()); }
