翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Valkey および Redis OSS AUTH コマンドによる認証
注記
AUTH は ロールベースのアクセスコントロール (RBAC) に置き換えられました。すべてのサーバーレスキャッシュでは、認証時に RBAC を使用する必要があります。
Valkey および Redis OSS 認証トークン、またはパスワードにより、Valkey および Redis OSS はクライアントにコマンドの実行を許可する前にパスワードを要求できるため、データのセキュリティが向上します。AUTH は独自設計型クラスターでのみ使用できます。
トピック
ElastiCache for Valkey および Redis OSS での AUTH の概要
ElastiCache for Valkey および Redis OSS クラスターAUTHで を使用する場合、いくつかの改良点があります。
特に、AUTH を使用する場合は、AUTH トークンまたはパスワードに関する以下の制約に注意してください。
-
トークン、またはパスワードは、印刷可能な 16~128 文字である必要があります。
-
英数字以外の文字は、(!、&、#、$、^、<、>、-) に制限されています。
-
AUTH は、転送中の暗号化が有効な Valkey または Redis OSS クラスターに対してのみ有効にできます。
強力なトークンを設定するには、以下の要件を満たすなど、厳格なパスワードポリシーに従うことをお勧めします。
-
トークンまたはパスワードには、以下の種類から 3 種類以上の文字が含まれている必要があります。
-
英大文字
-
英小文字
-
数字
-
アルファベット以外の文字 (
!
、&
、#
、$
、^
、<
、>
、-
)
-
-
トークンまたはパスワードに、辞書に載っている単語またはそれを少し変更したような単語を使用することはできません。
-
トークンまたはパスワードは、最近使用したトークンと同じまたは類似していてはなりません。
ElastiCache for Valkey および Redis OSS クラスターへの認証の適用
トークンで保護された Valkey または Redis OSS サーバーでユーザーにトークン (パスワード) の入力を要求できます。そのためには、レプリケーショングループまたはクラスターを作成するときに、正しいトークンを指定したパラメータ --auth-token
(API: AuthToken
) を含めます。また、レプリケーショングループまたはクラスターに対する後続のすべてのコマンドにもそのパラメータを含めます。
次の AWS CLI オペレーションでは、転送時の暗号化 (TLS) が有効で、AUTHトークン を持つレプリケーショングループを作成します
。サブネット グループ This-is-a-sample-token
sng-test
を、実存のサブネットグループに置き換えます。
キーのパラメータ
-
--engine
—valkey
またはredis
を指定する必要があります。 -
--engine-version
— エンジンが Redis OSS の場合、3.2.6、4.0.10 以降である必要があります。 -
--transit-encryption-enabled
— 認証と HIPAA 適格性に必要です。 -
--auth-token
— HIPAA 適格性に必要です。この値は、このトークンで保護された Valkey または Redis OSS サーバーの正しいトークンであることが必要です。 -
--cache-subnet-group
— HIPAA 適格性に必要です。
Linux、macOS、Unix の場合:
aws elasticache create-replication-group \ --replication-group-id
authtestgroup
\ --replication-group-descriptionauthtest
\ --engineredis
\ --cache-node-typecache.m4.large
\ --num-node-groups1
\ --replicas-per-node-group2
\ --transit-encryption-enabled \ --auth-tokenThis-is-a-sample-token
\ --cache-subnet-groupsng-test
Windows の場合:
aws elasticache create-replication-group ^ --replication-group-id
authtestgroup
^ --replication-group-descriptionauthtest
^ --engineredis
^ --cache-node-typecache.m4.large
^ --num-node-groups1
^ --replicas-per-node-group2
^ --transit-encryption-enabled ^ --auth-tokenThis-is-a-sample-token
^ --cache-subnet-groupsng-test
既存のクラスターでの AUTH トークンの変更
認証の更新を容易にするために、クラスターで使用される AUTH トークンを変更できます。エンジンバージョンが Valkey 7.2 以降または Redis 5.0.6 以降であれば、この変更を行うことができます。ElastiCache では、転送中の暗号化も有効にする必要があります。
認証トークンの変更は、ROTATE と SET の 2 つの戦略をサポートしています。ROTATE 戦略では、以前のトークンを保持しながら、サーバーに別の AUTH トークンを追加します。SET 戦略では、1 つの AUTH トークンのみをサポートするように、サーバーを更新します。変更をすぐに適用するには、これらの変更の呼び出しで --apply-immediately
パラメータを指定します。
AUTH トークンの更新
Valkey または Redis OSS サーバーを新しい AUTH トークンで更新するには、--auth-token
パラメータで新しい AUTH トークンを指定し、--auth-token-update-strategy
で値 ROTATE を指定して、ModifyReplicationGroup
API を呼び出します。ROTATE 変更が完了すると、クラスターは auth-token
パラメータで指定された AUTH トークンに加えて、以前の AUTH トークンをサポートします。AUTH トークンローテーションの前にレプリケーショングループに AUTH トークンが設定されていない場合、クラスターは認証なしの接続をサポートするだけでなく、--auth-token
パラメータで指定された AUTH トークンもサポートします。更新戦略 SET を使用して AUTH トークンを必須に更新するには、「AUTH トークンの設定」を参照してください。
注記
AUTH トークンを前もって設定しない場合、変更が完了すると、クラスターは auth-token パラメータで指定されたもの以外の AUTH トークンをサポートしません。
すでに 2 つの AUTH トークンをサポートするサーバーに対してこの変更が行われると、最も古い AUTH トークンもこのオペレーション中に削除されます。これにより、サーバーは一度に最大 2 つの最新の AUTH トークンをサポートできます。
この時点で、最新の AUTH トークンを使用するようにクライアントを更新することで続行できます。クライアントが更新された後、AUTH トークンの更新に関する SET 戦略 (次のセクションで説明) を採用して、新しいトークンのみの使用を開始できます。
次の AWS CLI オペレーションでは、AUTHトークン をローテーションするようにレプリケーショングループを変更します
。This-is-the-rotated-token
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-rotated-token
\ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-rotated-token
^ --auth-token-update-strategy ROTATE ^ --apply-immediately
AUTH トークンの設定
Valkey または Redis OSS サーバーを更新して単一の必須 AUTH トークンをサポートするには、最後の AUTH トークンと同じ値で --auth-token
パラメータを指定し、値 SET
で --auth-token-update-strategy
パラメータを指定して、ModifyReplicationGroup
API オペレーションを呼び出します。SET 戦略は、以前に ROTATE 戦略を使用することで 2 つの AUTH トークンまたは 1 つのオプションの AUTH トークンを持つクラスターでのみ使用できます。この変更が完了すると、サーバーは、auth-token パラメータで指定された AUTH トークンのみをサポートするようになります。
次の AWS CLI オペレーションでは、AUTH トークンを に設定するようにレプリケーショングループを変更します
。This-is-the-set-token
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id
authtestgroup
\ --auth-tokenThis-is-the-set-token
\ --auth-token-update-strategy SET \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id
authtestgroup
^ --auth-tokenThis-is-the-set-token
^ --auth-token-update-strategy SET ^ --apply-immediately
既存のクラスターでの認証の有効化
既存の Valkey または Redis OSS サーバーで認証を有効にするには、ModifyReplicationGroup
API オペレーションを呼び出します。--auth-token
パラメータで新しいトークンを指定し、--auth-token-update-strategy
パラメータで値 ROTATE を指定して、ModifyReplicationGroup
を呼び出します。
ROTATE 変更が完了すると、クラスターは、認証なしの接続をサポートするだけでなく、--auth-token
パラメータで指定された AUTH トークンもサポートするようになります。AUTH トークンを使用して Valkey または Redis OSS への認証を行うようにすべてのクライアントアプリケーションが更新されたら、SET 戦略を使用して AUTH トークンを必要に応じてマークします。認証の有効化は、転送中の暗号化 (TLS) が有効な Valkey または Redis OSS サーバーでのみサポートされます。
RBAC から AUTH への移行
「ロールベースのアクセスコントロール (RBAC)」で説明されているように、Valkey または Redis OSS のロールベースのアクセスコントロール (RBAC) を使用してユーザーを認証していて、AUTH に移行する場合は、次の手順を使用します。コンソールまたは CLI を使用して移行できます。
コンソールを使用して RBAC から AUTH に移行するには
にサインイン AWS Management Console し、https://console.aws.amazon.com/elasticache/
で ElastiCache コンソールを開きます。 -
右上隅のリストから、変更するクラスターがある AWS リージョンを選択します。
-
ナビゲーションペインで、変更するクラスターで実行されているエンジンを選択します。
選択したエンジンのクラスターが一覧表示されます。
-
クラスターのリストで、変更するクラスターの名前を選択します。
-
[アクション]、[変更] の順に選択します。
[変更] ウィンドウが表示されます。
-
[アクセスコントロール] で、[Valkey 認証デフォルトユーザーアクセス] または [Redis OSS 認証デフォルトユーザーアクセス] を選択します。
-
[Valkey 認証トークン] または [Redis OSS 認証トークン] で、新しいトークンを設定します。
-
[変更をプレビュー] を選択し、次の画面で [変更] を選択します。
を使用して RBAC から AUTH に移行するには AWS CLI
次のいずれかのコマンドを使用して、Valkey または Redis OSS レプリケーショングループの新しいオプションの AUTH トークンを設定します。オプションの Auth トークンでは、次のステップで更新戦略 SET
を使用して、Auth トークンが必須としてマークされるまで、レプリケーショングループへの未認証アクセスが許可されます。
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id test \ --remove-user-groups \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy ROTATE \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy ROTATE ^ --apply-immediately
上記のコマンドを実行した後、新しく設定されたオプションの AUTH トークンを使用して、Valkey または Redis OSS アプリケーションを更新して ElastiCache レプリケーショングループに対して認証できます。Auth トークンローテーションを完了するには、次のコマンドで更新戦略 SET
を使用します。これにより、オプションの AUTH トークンが必須としてマークされます。Auth トークンの更新が完了すると、レプリケーショングループのステータスは ACTIVE
として表示され、このレプリケーショングループへのすべての接続には認証が必要になります。
Linux、macOS、Unix の場合:
aws elasticache modify-replication-group \ --replication-group-id test \ --auth-token This-is-a-sample-token \ --auth-token-update-strategy SET \ --apply-immediately
Windows の場合:
aws elasticache modify-replication-group ^ --replication-group-id test ^ --remove-user-groups ^ --auth-token This-is-a-sample-token ^ --auth-token-update-strategy SET ^ --apply-immediately
詳細については、「Valkey および Redis OSS AUTH コマンドによる認証」を参照してください。
注記
ElastiCache クラスターのアクセスコントロールを無効にする必要がある場合は、「ElastiCache Valkey または Redis OSS キャッシュでアクセスコントロールを無効にする」を参照してください。