Amazon ElastiCache
用户指南 (API 版本 2015-02-02)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

使用 AUTH 对用户进行身份验证 (Redis)

使用 Redis AUTH 命令可改进数据安全性,具体方法是要求用户先输入密码,然后再向其授予对受密码保护的 Redis 服务器执行 Redis 命令的权限。

此部分包含 Redis 的 AUTH 命令的 ElastiCache 实现,这与 Redis 实现有些不同。

ElastiCache for Redis AUTH 概述

在将 Redis AUTH 与您的 ElastiCache 群集结合使用时,需要了解一些细化功能。

AUTH 令牌与 ElastiCache 一起使用时的约束

  • 密码必须最少为 16 个可打印字符,最多为 128 个可打印字符。

  • 不能在密码中使用可打印字符 @"/

  • 仅当创建其中启用了传输中加密的集群时才能启用 AUTH。

  • 在创建集群时设置的密码无法更改。

我们建议您采用更严格的策略,如:

  • 必须包含字符组合,此组合至少包含以下字符类型中的 3 种:

    • 大写字符

    • 小写字符

    • 数字

    • 非字母数字字符 (!&#$^<>-)

  • 不得包含字典字或稍微修改过的字典字。

  • 不得与最近使用的密码相同或类似。

将身份验证应用于 ElastiCache 命令

如果要求用户在受密码保护的 Redis 服务器上输入密码,请在该服务器的配置文件中添加 requirepass 行。然后,ElastiCache for Redis 命令必须包含参数 --auth-token (API: AuthToken) 和正确的密码才能执行。

下面的 AWS CLI 操作将创建一个启用传输中加密并具有 AUTH 令牌“this-is-a-sample-token”的复制组。用已存在的子网组替换子网组 sng-test

关键参数

  • --engine – 必须为 redis。

  • --engine-version 必须为 3.2.6。

  • --transit-encryption-enabled – 必须启用传输中加密才能使用身份验证且符合 HIPAA 的要求。

  • --auth-token –必须是此密码保护的 Redis 服务器的正确密码且指定符合 HIPAA 的要求。

  • --cache-subnet-group –指定必须符合 HIPAA 的要求。

对于 Linux, OS X, or Unix:

aws elasticache create-replication-group \ --replication-group-id authtestgroup \ --replication-group-description authtest \ --engine redis \ --engine-version 3.2.6 \ --transit-encryption-enabled \ --cache-node-type cache.m4.large \ --num-node-groups 1 \ --replicas-per-node-group 2 \ --cache-parameter-group default.redis3.2.cluster.on \ --auth-token This-is-a-sample-token \ --cache-subnet-group sng-test

对于 Windows:

aws elasticache create-replication-group ^ --replication-group-id authtestgroup ^ --replication-group-description authtest ^ --engine redis ^ --engine-version 3.2.6 ^ --transit-encryption-enabled ^ --cache-node-type cache.m4.large ^ --num-node-groups 1 ^ --replicas-per-node-group 2 ^ --cache-parameter-group default.redis3.2.cluster.on ^ --auth-token This-is-a-sample-token ^ --cache-subnet-group sng-test

相关主题