Autenticar com o comando AUTH do Valkey e Redis OSS - Amazon ElastiCache
Visão geral do AUTHAplicação de autenticaçãoModificação do AUTH em um servidor existenteMigração do RBAC para o AUTH

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Autenticar com o comando AUTH do Valkey e Redis OSS

nota

O AUTH foi substituído por Regras de controle de acesso com base em função (RBAC). Todos os caches sem servidor devem usar o RBAC na autenticação.

As senhas ou tokens de autenticação do Valkey e Redis OSS habilitam o Valkey e Redis OSS a exigir uma senha antes de permitir que os clientes executem comandos, melhorando assim a segurança dos dados. O AUTH só está disponível para clusters autoprojetados.

Visão geral do AUTH no ElastiCache Valkey e no Redis OSS

Quando você usa o AUTH com seu cluster OSS ElastiCache para Valkey e Redis, há alguns refinamentos.

Em particular, esteja ciente destas restrições de token ou senha AUTH ao usar AUTH:

  • Tokens, ou senhas, devem ter de 16 a 128 caracteres imprimíveis.

  • Caracteres não alfanuméricos são restritos a (! , &, #, $, ^, <, >, -).

  • O AUTH só pode ser habilitado para clusters OSS Valkey ou Redis habilitados para criptografia em trânsito.

Para configurar um token forte, recomendamos que você siga uma política de senha estrita, tal como exigir o seguinte:

  • Tokens ou senhas devem incluir pelo menos três dos seguintes tipos de caractere:

    • Caracteres maiúsculos

    • Caracteres minúsculos

    • Dígitos

    • Caracteres não alfanuméricos (!, &, #, $, ^, <, >, -)

  • Tokens ou senhas não devem conter uma palavra de dicionário ou uma palavra de dicionário minimamente alterada.

  • Tokens ou senhas não devem ser iguais ou similares a um token usado recentemente.

Aplicando autenticação a um cluster OSS ElastiCache para Valkey e Redis

Você pode exigir que os usuários insiram um token (senha) em um servidor Valkey ou Redis OSS protegido por tokens. Para fazer isso, inclua o parâmetro --auth-token (API: AuthToken) com o token correto quando você criar seu grupo de replicação ou cluster. Inclua-o também em todos os comandos subsequentes para o grupo de replicação ou cluster.

A AWS CLI operação a seguir cria um grupo de replicação com a criptografia em trânsito (TLS) ativada e o AUTH token. This-is-a-sample-token Substitua o grupo de sub-redes sng-test por um grupo de sub-redes que exista.

Principais parâmetros

  • --engine: precisa ser valkey ou redis.

  • --engine-version: se o mecanismo for Redis OSS, é preciso que seja 3.2.6, 4.0.10 ou posterior.

  • --transit-encryption-enabled: obrigatório para autenticação e qualificação para HIPAA.

  • --auth-token: obrigatório para qualificação para HIPAA. Esse valor deve ser o token correto para esse servidor Valkey ou Redis OSS protegido por tokens.

  • --cache-subnet-group: obrigatório para qualificação para HIPAA.

Para Linux, macOS ou Unix:

aws elasticache create-replication-group \
    --replication-group-id authtestgroup \
    --replication-group-description authtest \
    --engine redis \ 
    --cache-node-type cache.m4.large \
    --num-node-groups 1 \
    --replicas-per-node-group 2 \    
    --transit-encryption-enabled \
    --auth-token This-is-a-sample-token \
    --cache-subnet-group sng-test

Para Windows:

aws elasticache create-replication-group ^
    --replication-group-id authtestgroup ^
    --replication-group-description authtest ^
    --engine redis ^ 
    --cache-node-type cache.m4.large ^
    --num-node-groups 1 ^
    --replicas-per-node-group 2 ^    
    --transit-encryption-enabled ^
    --auth-token This-is-a-sample-token ^
    --cache-subnet-group sng-test

Modificação do token AUTH em um cluster existente

Para facilitar a atualização da autenticação, você pode modificar o token AUTH usado em um cluster. Você pode fazer essa modificação se a versão do mecanismo for Valkey 7.2 ou superior ou Redis 5.0.6 ou superior. ElastiCache também deve ter a criptografia em trânsito ativada.

A modificação do token de autenticação oferece suporte a duas estratégias: ROTATE (ALTERNAR) e SET (DEFINIR). A estratégia ROTATE (ALTERNAR) acrescenta um token AUTH adicional para o servidor enquanto retém o token anterior. A estratégia SET (DEFINIR) atualiza o servidor para aceitar apenas um único token AUTH. Faça essas chamadas de modificação com o parâmetro --apply-immediately para aplicar as alterações imediatamente.

Alternância do token AUTH

Para atualizar um servidor Valkey ou Redis OSS com um novo token AUTH, chame a API ModifyReplicationGroup com o parâmetro --auth-token como o novo token AUTH e o --auth-token-update-strategy com o valor ROTATE (ALTERNAR). Depois que a modificação ROTATE (ALTERNAR) for concluída, o cluster oferecerá suporte ao token AUTH anterior além do especificado no parâmetro auth-token. Se nenhum token AUTH tiver sido configurado no grupo de replicação antes da rotação do token AUTH, o cluster oferecerá suporte ao token AUTH especificado no parâmetro --auth-token, além do suporte a conexões sem autenticação. Consulte Definição do token AUTH para atualizar o token AUTH a ser necessário usando a estratégia de atualização SET (DEFINIR).

nota

Se você não configurar o token AUTH antes, depois que a modificação for concluída, o cluster não oferecerá suporte a nenhum token AUTH além do especificado no parâmetro auth-token.

Se essa modificação for executada em um servidor que já ofereça suporte a dois tokens AUTH, o token AUTH mais antigo também será removido durante esta operação. Isso permite que um servidor ofereça suporte a até dois tokens AUTH mais recentes em um determinado momento.

Neste ponto, você pode continuar atualizando o cliente para usar o token AUTH mais recente. Depois que os clientes forem atualizados, você poderá usar a estratégia SET (DEFINIR) para alternância de token AUTH (explicada na seção a seguir) para começar exclusivamente a usar o novo token.

A AWS CLI operação a seguir modifica um grupo de replicação para girar o token. AUTH This-is-the-rotated-token

Para Linux, macOS ou Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-rotated-token \
--auth-token-update-strategy ROTATE \
--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-rotated-token ^
--auth-token-update-strategy ROTATE ^
--apply-immediately

Definição do token AUTH

Para atualizar um servidor Valkey ou Redis OSS para oferecer suporte a um único token AUTH necessário, chame a operação ModifyReplicationGroup da API com o parâmetro --auth-token com o mesmo valor do último token AUTH e o parâmetro --auth-token-update-strategy com o valor SET. A estratégia SET (DEFINIR) só pode ser usada com um cluster que tenha 2 tokens AUTH ou 1 token AUTH opcional do uso anterior da estratégia ROTATE (ALTERNAR). Após a conclusão da modificação, o servidor oferecerá suporte apenas para o token AUTH especificado no parâmetro auth-token.

A AWS CLI operação a seguir modifica um grupo de replicação para definir o token AUTH. This-is-the-set-token

Para Linux, macOS ou Unix: 

aws elasticache modify-replication-group \
--replication-group-id authtestgroup \
--auth-token This-is-the-set-token \
--auth-token-update-strategy SET \
--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
--replication-group-id authtestgroup ^
--auth-token This-is-the-set-token ^
--auth-token-update-strategy SET ^
--apply-immediately

Habilitação de autenticação em um cluster existente

Para habilitar a autenticação em um servidor Valkey ou Redis OSS existente, chame a operação ModifyReplicationGroup da API. Execute ModifyReplicationGroup com o parâmetro --auth-token como o novo token e o parâmetro --auth-token-update-strategy com o valor ROTATE (ALTERNAR).

Depois que a modificação ROTATE (ALTERNAR) for concluída, o cluster oferecerá suporte ao token AUTH especificado no parâmetro --auth-token, além do suporte a conexões sem autenticação. Depois que todos os aplicativos cliente forem atualizados para se autenticar no Valkey ou no Redis OSS com o token AUTH, use a estratégia SET (DEFINIR) para marcar o token AUTH conforme necessário. A habilitação da autenticação só é aceita em servidores Valkey e Redis OSS com criptografia em trânsito (TLS) habilitada.

Migração do RBAC para o AUTH

Se você estiver autenticando usuários com o controle de acesso baseado em função (RBAC) do Valkey ou Redis OSS, conforme descrito em Regras de controle de acesso com base em função (RBAC), e desejar migrar para o AUTH, use os seguintes procedimentos. Você pode migrar usando o console ou a CLI.

Para migrar do RBAC para o AUTH usando o console

  1. Faça login no AWS Management Console e abra o ElastiCache console em https://console.aws.amazon.com/elasticache/.

  2. Na lista no canto superior direito, escolha a AWS região em que o cluster que você deseja modificar está localizado.

  3. No painel de navegação, escolha o mecanismo em execução no cluster que deseja modificar.

    É exibida uma lista dos clusters do mecanismo escolhido.

  4. Na lista de clusters, no cluster que você deseja modificar, escolha seu nome.

  5. Para Actions (Ações), escolha Modify (Modificar).

    A janela Modificar é exibida.

  6. Em Controle de acesso, escolha Acesso do usuário padrão AUTH do Valkey ou Acesso do usuário padrão AUTH do Redis OSS.

  7. Em Token AUTH do Valkey ou Token AUTH do Redis OSS, defina um novo token.

  8. Escolha Previsualizar alterações e, na próxima tela, Modificar.

Para migrar do RBAC para o AUTH usando o AWS CLI

Use um dos comandos a seguir para configurar um novo token AUTH opcional para seu grupo de replicação do Valkey ou Redis OSS. Observe que um token Auth opcional permitirá acesso não autenticado ao grupo de replicação até que o token Auth seja marcado como obrigatório, usando a estratégia de atualização SET na etapa a seguir.

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \
    --replication-group-id test \
    --remove-user-groups \
    --auth-token This-is-a-sample-token \
    --auth-token-update-strategy ROTATE \ 
    --apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
    --replication-group-id test ^
    --remove-user-groups ^
    --auth-token This-is-a-sample-token ^
    --auth-token-update-strategy ROTATE ^ 
    --apply-immediately

Depois de executar o comando acima, você pode atualizar seus aplicativos Valkey ou Redis OSS para se autenticar no grupo de ElastiCache replicação usando o token AUTH opcional recém-configurado. Para concluir a rotação do token Auth, use a estratégia de atualização SET no comando subsequente abaixo. Isso marcará o token AUTH opcional conforme necessário. Quando a atualização do token Auth for concluída, o status do grupo de replicação será exibido como ACTIVE e todas as conexões com esse grupo de replicação exigirão autenticação.

Para Linux, macOS ou Unix:

aws elasticache modify-replication-group \
			--replication-group-id test \
			--auth-token This-is-a-sample-token \
			--auth-token-update-strategy SET \ 
			--apply-immediately

Para Windows:

aws elasticache modify-replication-group ^
			--replication-group-id test ^
			--remove-user-groups ^
			--auth-token This-is-a-sample-token ^
			--auth-token-update-strategy SET ^ 
			--apply-immediately

Para obter mais informações, consulte Autenticar com o comando AUTH do Valkey e Redis OSS.

nota

Se você precisar desativar o controle de acesso em um ElastiCache cluster, consulteDesabilitando o controle de acesso em um cache ElastiCache Valkey ou Redis OSS.