本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 以 IAM 進行身分驗證
**Topics**
+ [概觀](#auth-iam-overview)
+ [限制](#auth-iam-limits)
+ [設定](#auth-iam-setup)
+ [連接](#auth-iam-Connecting)
## 概觀
當您的叢集設定為使用 Valkey 或 Redis OSS 第 7 版或更新版本時,您可以使用 AWS IAM 身分驗證與 MemoryDB 的連線。這可讓您強化安全模型,並簡化許多管理安全任務。透過 IAM 身分驗證,您可以為每個個別 MemoryDB 叢集和 MemoryDB 使用者設定精細存取控制,並遵循最低權限許可原則。適用於 MemoryDB 的 IAM 身分驗證的運作方式是在 `AUTH`或 `HELLO`命令中提供短期 IAM 身分驗證字符,而非長期的 MemoryDB 使用者密碼。如需 IAM 身分驗證字符的詳細資訊,請參閱《 AWS 一般參考指南》中的 [Signature 第 4 版簽署程序](https://docs.aws.amazon.com//general/latest/gr/signature-version-4.html),以及下面的程式碼範例。
您可以使用 IAM 身分及其相關聯的政策來進一步限制 Valkey 或 Redis OSS 存取。您也可以將使用者從聯合身分提供者的存取權直接授予 MemoryDB 叢集。
若要將 AWS IAM 與 MemoryDB 搭配使用,您必須先建立身分驗證模式設為 IAM 的 MemoryDB 使用者,然後才能建立或重複使用 IAM 身分。IAM 身分需要相關聯的政策,才能將`memorydb:Connect`動作授予 MemoryDB 叢集和 MemoryDB 使用者。設定完成後,您可以使用 IAM 使用者或角色的 AWS 登入資料建立 IAM 身分驗證字符。最後,您需要在連線至 MemoryDB 叢集節點時,在 Valkey 或 Redis OSS 用戶端中提供短期 IAM 身分驗證字符做為密碼。支援登入資料的用戶端可以為每個新連線自動產生臨時登入資料。MemoryDB 將對啟用 IAM 的 MemoryDB 使用者的連線請求執行 IAM 身分驗證,並將使用 IAM 驗證連線請求。
## 限制
使用 IAM 身分驗證,會套用以下限制:
+ 使用 Valkey 或 Redis OSS 引擎 7.0 版或更新版本時,可使用 IAM 身分驗證。
+ IAM 身分驗證字符的有效期限為 15 分鐘。對於長期連線,我們建議您使用支援登入資料提供者介面的 Redis OSS 用戶端。
+ IAM 驗證的 MemoryDB 連線會在 12 小時後自動中斷連線。可以傳送包含新 IAM 身分驗證字符的 `AUTH` 或 `HELLO` 命令,將連線再延長 12 小時。
+ `MULTI EXEC` 命令不支援 IAM 身分驗證。
+ 目前,IAM 驗證不支援所有全域條件內容金鑰。如需有關全域條件內容索引鍵的詳細資訊,請參閱《IAM 使用者指南》中的 [AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
## 設定
設定 IAM 身分驗證:
1. 建立 叢集
```
aws memorydb create-cluster \
--cluster-name cluster-01 \
--description "MemoryDB IAM auth application"
--node-type db.r6g.large \
--engine-version 7.0 \
--acl-name open-access
```
1. 為您的角色建立如下所示的 IAM 信任政策文件,讓您的帳戶擔任新角色。將政策儲存到名為 *trust-policy.json* 的檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::123456789012:root" },
"Action": "sts:AssumeRole"
}
}
```
------
1. 建立 IAM 政策文件,如下所示。將政策儲存到名為 *policy.json* 的檔案。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect" : "Allow",
"Action" : [
"memorydb:connect"
],
"Resource" : [
"arn:aws:memorydb:us-east-1:123456789012:cluster/cluster-01",
"arn:aws:memorydb:us-east-1:123456789012:user/iam-user-01"
]
}
]
}
```
------
1. 建立 IAM 角色。
```
aws iam create-role \
--role-name "memorydb-iam-auth-app" \
--assume-role-policy-document file://trust-policy.json
```
1. 建立 IAM 政策。
```
aws iam create-policy \
--policy-name "memorydb-allow-all" \
--policy-document file://policy.json
```
1. 將 IAM 政策連接至角色。
```
aws iam attach-role-policy \
--role-name "memorydb-iam-auth-app" \
--policy-arn "arn:aws:iam::123456789012:policy/memorydb-allow-all"
```
1. 建立已啟用 IAM 的新使用者。
```
aws memorydb create-user \
--user-name iam-user-01 \
--authentication-mode Type=iam \
--access-string "on ~* +@all"
```
1. 建立 ACL 並連接使用者。
```
aws memorydb create-acl \
--acl-name iam-acl-01 \
--user-names iam-user-01
aws memorydb update-cluster \
--cluster-name cluster-01 \
--acl-name iam-acl-01
```
## 連接
**以字符做為密碼進行連線**
首先,您需要使用 [AWS SigV4 預先簽章的請求](https://docs.aws.amazon.com//general/latest/gr/sigv4-signed-request-examples.html),產生短期 IAM 身分驗證字符。之後,您在連線至 MemoryDB 叢集時提供 IAM 身分驗證字符做為密碼,如以下範例所示。
```
String userName = "insert user name"
String clusterName = "insert cluster name"
String region = "insert region"
// Create a default AWS Credentials provider.
// This will look for AWS credentials defined in environment variables or system properties.
AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain();
// Create an IAM authentication token request and signed it using the AWS credentials.
// The pre-signed request URL is used as an IAM authentication token for MemoryDB.
IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region);
String iamAuthToken = iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials());
// Construct URL with IAM Auth credentials provider
RedisURI redisURI = RedisURI.builder()
.withHost(host)
.withPort(port)
.withSsl(ssl)
.withAuthentication(userName, iamAuthToken)
.build();
// Create a new Lettuce client
RedisClusterClient client = RedisClusterClient.create(redisURI);
client.connect();
```
以下是 `IAMAuthTokenRequest` 的定義。
```
public class IAMAuthTokenRequest {
private static final HttpMethodName REQUEST_METHOD = HttpMethodName.GET;
private static final String REQUEST_PROTOCOL = "http://";
private static final String PARAM_ACTION = "Action";
private static final String PARAM_USER = "User";
private static final String ACTION_NAME = "connect";
private static final String SERVICE_NAME = "memorydb";
private static final long TOKEN_EXPIRY_SECONDS = 900;
private final String userName;
private final String clusterName;
private final String region;
public IAMAuthTokenRequest(String userName, String clusterName, String region) {
this.userName = userName;
this.clusterName = clusterName;
this.region = region;
}
public String toSignedRequestUri(AWSCredentials credentials) throws URISyntaxException {
Request request = getSignableRequest();
sign(request, credentials);
return new URIBuilder(request.getEndpoint())
.addParameters(toNamedValuePair(request.getParameters()))
.build()
.toString()
.replace(REQUEST_PROTOCOL, "");
}
private Request getSignableRequest() {
Request request = new DefaultRequest<>(SERVICE_NAME);
request.setHttpMethod(REQUEST_METHOD);
request.setEndpoint(getRequestUri());
request.addParameters(PARAM_ACTION, Collections.singletonList(ACTION_NAME));
request.addParameters(PARAM_USER, Collections.singletonList(userName));
return request;
}
private URI getRequestUri() {
return URI.create(String.format("%s%s/", REQUEST_PROTOCOL, clusterName));
}
private void sign(SignableRequest request, AWSCredentials credentials) {
AWS4Signer signer = new AWS4Signer();
signer.setRegionName(region);
signer.setServiceName(SERVICE_NAME);
DateTime dateTime = DateTime.now();
dateTime = dateTime.plus(Duration.standardSeconds(TOKEN_EXPIRY_SECONDS));
signer.presignRequest(request, credentials, dateTime.toDate());
}
private static List toNamedValuePair(Map> in) {
return in.entrySet().stream()
.map(e -> new BasicNameValuePair(e.getKey(), e.getValue().get(0)))
.collect(Collectors.toList());
}
}
```
**使用憑證提供者進行連線**
以下程式碼說明如何使用 IAM 身分驗證憑證提供者向 MemoryDB 進行身分驗證。
```
String userName = "insert user name"
String clusterName = "insert cluster name"
String region = "insert region"
// Create a default AWS Credentials provider.
// This will look for AWS credentials defined in environment variables or system properties.
AWSCredentialsProvider awsCredentialsProvider = new DefaultAWSCredentialsProviderChain();
// Create an IAM authentication token request. Once this request is signed it can be used as an
// IAM authentication token for MemoryDB.
IAMAuthTokenRequest iamAuthTokenRequest = new IAMAuthTokenRequest(userName, clusterName, region);
// Create a credentials provider using IAM credentials.
RedisCredentialsProvider redisCredentialsProvider = new RedisIAMAuthCredentialsProvider(
userName, iamAuthTokenRequest, awsCredentialsProvider);
// Construct URL with IAM Auth credentials provider
RedisURI redisURI = RedisURI.builder()
.withHost(host)
.withPort(port)
.withSsl(ssl)
.withAuthentication(redisCredentialsProvider)
.build();
// Create a new Lettuce cluster client
RedisClusterClient client = RedisClusterClient.create(redisURI);
client.connect();
```
以下是在登入資料提供者中包裝 IAMAuthTokenRequest 的 Lettuce 叢集用戶端範例,以在需要時自動產生臨時登入資料。
```
public class RedisIAMAuthCredentialsProvider implements RedisCredentialsProvider {
private static final long TOKEN_EXPIRY_SECONDS = 900;
private final AWSCredentialsProvider awsCredentialsProvider;
private final String userName;
private final IAMAuthTokenRequest iamAuthTokenRequest;
private final Supplier iamAuthTokenSupplier;
public RedisIAMAuthCredentialsProvider(String userName,
IAMAuthTokenRequest iamAuthTokenRequest,
AWSCredentialsProvider awsCredentialsProvider) {
this.userName = userName;
this.awsCredentialsProvider = awsCredentialsProvider;
this.iamAuthTokenRequest = iamAuthTokenRequest;
this.iamAuthTokenSupplier = Suppliers.memoizeWithExpiration(this::getIamAuthToken, TOKEN_EXPIRY_SECONDS, TimeUnit.SECONDS);
}
@Override
public Mono resolveCredentials() {
return Mono.just(RedisCredentials.just(userName, iamAuthTokenSupplier.get()));
}
private String getIamAuthToken() {
return iamAuthTokenRequest.toSignedRequestUri(awsCredentialsProvider.getCredentials());
}
```