Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Autenticación con el comando AUTH de Valkey o Redis OSS
<a name="auth"></a>

**nota**  
**AUTH** se ha reemplazado por [Control de acceso basado en roles (RBAC)](Clusters.RBAC.md). Todas las cachés sin servidor deben usar RBAC para la autenticación.

Las contraseñas o tokens de autenticación de Valkey y Redis OSS permiten a Valkey y Redis OSS exigir una contraseña para que los clientes puedan ejecutar comandos, lo que mejora la seguridad de los datos. **AUTH** está disponible solo para clústeres basados en nodos.

**Topics**
+ [Descripción general de AUTH en Valkey y Redis ElastiCache OSS](#auth-overview)
+ [Aplicar la autenticación a un clúster de OSS ElastiCache para Valkey y Redis](#auth-using)
+ [Modificación del token de AUTH en un clúster existente](#auth-modifyng-token)
+ [Migración de RBAC a AUTH](#Migrate-From-RBAC-to-AUTH)

## Descripción general de AUTH en Valkey y Redis ElastiCache OSS
<a name="auth-overview"></a>

Cuando lo usa **AUTH** con su clúster OSS ElastiCache para Valkey y Redis, hay algunas mejoras. 

En concreto, tenga en cuenta estas restricciones de los tokens o contraseñas de AUTH al utilizar AUTH:
+ Los tokens o contraseñas, deben tener entre 16 y 128 caracteres imprimibles.
+ Los caracteres no alfanuméricos están restringidos a (\$1, &, \$1, \$1, ^, <, >, -). 
+ Solo se puede activar AUTH para los clústeres de Valkey o Redis OSS con el cifrado en tránsito activado.

Para configurar un token seguro, recomendamos que siga una política de contraseña estricta, como las que exigen las siguientes condiciones:
+ Los tokens o contraseñas deben incluir al menos tres de los siguientes tipos de caracteres:
  + Caracteres en mayúsculas
  + Caracteres en minúsculas
  + Dígitos 
  + Caracteres no alfanuméricos (`!`, `&`, `#`, `$`, `^`, `<`, `>`, `-`)
+ Los tokens o contraseñas no deben contener una palabra del diccionario ni una palabra del diccionario modificada ligeramente.
+ Los tokens o contraseñas no deben ser iguales ni similares a un token que se haya utilizado recientemente.

## Aplicar la autenticación a un clúster de OSS ElastiCache para Valkey y Redis
<a name="auth-using"></a>

Puede exigir a los usuarios que introduzcan un token (contraseña) en un servidor de Valkey o Redis OSS protegido mediante token. Para ello, incluya el parámetro `--auth-token` (API: `AuthToken`) con el token correcto al crear el clúster o grupo de reproducción. Inclúyalo también en todos los comandos posteriores para el clúster o grupo de reproducción.

La siguiente AWS CLI operación crea un grupo de replicación con el cifrado en tránsito (TLS) habilitado y el token. **AUTH** `This-is-a-sample-token` Reemplace el grupo de subredes `sng-test` por otro existente.

**Parámetros clave**
+ **--engine**: debe ser `valkey` o `redis`.
+ **--engine-version**: si el motor es Redis OSS, debe ser la versión 3.2.6, 4.0.10 o una posterior.
+ **--transit-encryption-enabled**: obligatorio para la autenticación y elegibilidad para la HIPAA.
+ **--auth-token**: obligatorio para la conformidad con la HIPAA. Este valor deber ser el token correcto de este servidor de Valkey o Redis OSS protegido mediante token.
+ **--cache-subnet-group**: obligatorio para la conformidad con la HIPAA.

Para Linux, macOS o Unix:

```
aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test
```

Para Windows:

```
aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test
```

## Modificación del token de AUTH en un clúster existente
<a name="auth-modifyng-token"></a>

Para facilitar la actualización de la autenticación, puede modificar el token de **AUTH** utilizado en un clúster. Puede realizar esta modificación si la versión del motor es Valkey 7.2 o superior o Redis 5.0.6 o superior. ElastiCache también debe tener activado el cifrado en tránsito. 

La modificación del token de AUTH admite dos estrategias: ROTATE y SET. La estrategia ROTATE añade un token de AUTH adicional al servidor a la vez que se retiene el token anterior. La estrategia SET actualiza el servidor para que admita un único token de AUTH. Realice estas llamadas de modificación con el parámetro `--apply-immediately` para aplicar los cambios de inmediato.

### Rotación del token AUTH
<a name="auth-modifyng-rotate"></a>

Para actualizar un servidor de Valkey o Redis OSS con un nuevo **token de AUTH**, llame a la API de `ModifyReplicationGroup` con el parámetro `--auth-token` como nuevo token de **AUTH** y `--auth-token-update-strategy` con el valor ROTATE. Una vez que finaliza la modificación de ROTATE, el clúster admitirá el token de AUTH anterior además del especificado en el parámetro `auth-token`. Si no se configuró ningún token de AUTH en el grupo de replicación antes de la rotación del token de AUTH, el clúster admite el token de AUTH especificado en el parámetro `--auth-token`, además de la conexión sin autenticación. Consulte [Configuración del token AUTH](#auth-modifying-set) para actualizar el token de AUTH que se va a exigir mediante la estrategia de actualización SET.

**nota**  
Si no configura el token AUTH antes, una vez completada la modificación, el clúster no admitirá ningún token AUTH además del especificado en el parámetro auth-token. 

Si esta modificación se realiza en un servidor que ya admite dos tokens de AUTH, el token de AUTH más antiguo también se eliminará durante esta operación. Esto permite que un servidor admita hasta los dos token de AUTH más recientes en un momento determinado.

En este momento, puede continuar con la actualización del cliente para que utilice el último token de AUTH. Una vez que se actualizan los clientes, puede utilizar la estrategia SET para la rotación del token **AUTH** (que se explica en la sección siguiente) a fin de comenzar a utilizar en exclusiva el token nuevo. 

La siguiente AWS CLI operación modifica un grupo de replicación para rotar el **AUTH** token`This-is-the-rotated-token`.

Para Linux, macOS o Unix: 

```
aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately
```

Para Windows:

```
aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately
```

### Configuración del token AUTH
<a name="auth-modifying-set"></a>

Para actualizar un servidor de Valkey o Redis OSS para que admita un único token de **AUTH** obligatorio, llame a la operación de la API `ModifyReplicationGroup` con el parámetro `--auth-token` con el mismo valor que el último token de AUTH y el parámetro `--auth-token-update-strategy` con el valor `SET`. La estrategia SET solo se puede usar con un clúster que tenga dos token de AUTH o un token de AUTH opcional debido al uso anterior de una estrategia ROTATE. Una vez finalizada la modificación, el servidor solo admite el token de AUTH especificado en el parámetro auth-token. 

La siguiente AWS CLI operación modifica un grupo de replicación en el que se establece el token AUTH. `This-is-the-set-token`

Para Linux, macOS o Unix: 

```
aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately
```

Para Windows:

```
aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately
```

### Habilitación de la autenticación en un clúster existente
<a name="auth-enabling"></a>

Para habilitar la autenticación en un servidor de Valkey o Redis OSS existente, llame a la operación de la API `ModifyReplicationGroup`. Llame a `ModifyReplicationGroup` con el parámetro `--auth-token` como el nuevo token y `--auth-token-update-strategy` con el valor ROTATE. 

Tras finalizar la modificación de ROTATE, el clúster admite el token de **AUTH** especificado en el parámetro `--auth-token` además de la conexión sin autenticación. Una vez que todas las aplicaciones cliente estén actualizadas para autenticarse en Valkey o Redis OSS con el token de AUTH, utilice la estrategia SET para marcar el token de AUTH como obligatorio. La habilitación de la autenticación solo se admite en servidores de Valkey y Redis OSS con el cifrado en tránsito (TLS) habilitado. 

## Migración de RBAC a AUTH
<a name="Migrate-From-RBAC-to-AUTH"></a>

Si está autenticando usuarios con el control de acceso basado en roles (RBAC) de Valkey o Redis OSS, tal y como se describe en [Control de acceso basado en roles (RBAC)](Clusters.RBAC.md), y desea migrar a AUTH, utilice los siguientes procedimientos. Puede migrar mediante la consola o la CLI. 

**Migración desde RBAC a AUTH mediante la consola**

1. Inicie sesión en Consola de administración de AWS y abra la ElastiCache consola en. [ https://console.aws.amazon.com/elasticache/](https://console.aws.amazon.com/elasticache/)

1. En la lista de la esquina superior derecha, elija la AWS región en la que se encuentra el clúster que desea modificar.

1. En el panel de navegación, elija el motor que se ejecuta en el clúster que desea modificar.

   Se mostrará una lista de los clústeres del motor elegido.

1. En la lista de clústeres, para el clúster que desea modificar, elija su nombre. 

1. Para **Actions (Acciones)**, elija **Modify (Modificar)**. 

   Aparecerá la ventana **Modificar**.

1. En **Control de acceso**, elija **Acceso de usuario predeterminado de AUTH de Valkey** o **Acceso de usuario predeterminado de AUTH de Redis OSS**.

1. En **Token de AUTH de Valkey** o **Token de AUTH de Redis OSS**, defina un nuevo token. 

1. Seleccione **Vista previa de los cambios** y seleccione **Modificar** en la siguiente pantalla.

**Para migrar de RBAC a AUTH mediante el AWS CLI**

Utilice uno de los siguientes comandos para configurar un nuevo token de **AUTH** opcional para su grupo de replicación de Valkey o Redis OSS. Tenga en cuenta que un token de autenticación opcional permitirá el acceso no autenticado al grupo de replicación hasta que el token de autenticación se marque como obligatorio, de acuerdo con la estrategia de actualización `SET` que se describe en el siguiente paso.

Para Linux, macOS o Unix:

```
aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately
```

Para Windows:

```
aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately
```

Tras ejecutar el comando anterior, puede actualizar sus aplicaciones OSS de Valkey o Redis para que se autentiquen en el grupo de ElastiCache replicación mediante el token AUTH opcional recién configurado. Para completar la rotación del token de autenticación, utilice la estrategia de actualización `SET` en el siguiente comando. De esta forma, el token de AUTH opcional se marcará como obligatorio. Cuando se complete la actualización del token de autenticación, el estado del grupo de replicación aparecerá como `ACTIVE` y todas las conexiones a este grupo de replicación requerirán autenticación.

Para Linux, macOS o Unix:

```
aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately
```

Para Windows:

```
aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately
```

Para obtener más información, consulte [Autenticación con el comando AUTH de Valkey o Redis OSS](#auth).

**nota**  
Si necesita deshabilitar el control de acceso en un ElastiCache clúster, consulte. [Deshabilitación del control de acceso en una caché de ElastiCache Valkey o Redis OSS](in-transit-encryption-disable.md)