用于 Redis 的 Amazon ElastiCache
ElastiCache for Redis 用户指南 (API 版本 2015-02-02)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

使用 AUTH 对用户进行身份验证

使用 Redis AUTH 命令可改进数据安全性,具体方法是要求用户先输入密码,然后再向其授予对受密码保护的 Redis 服务器执行 Redis 命令的权限。

此部分包含 Redis 的 AUTH 命令的 ElastiCache for Redis 实现,这与 Redis 实现有些不同。

用于 Redis 的 Amazon ElastiCache AUTH 概述

在将 Redis AUTH 与您的 ElastiCache for Redis 集群结合使用时,需要了解一些细化功能。

AUTH 令牌与 用于 Redis 的 Amazon ElastiCache 一起使用时的约束

  • 密码必须最少为 16 个可打印字符,最多为 128 个可打印字符。

  • 允许的可打印特殊字符只包括 !&#$^<>-。其他的可打印特殊字符不能用于 AUTH 令牌中。

  • 仅当创建其中启用了传输中加密的集群时才能启用 AUTH。

  • 在创建集群时设置的密码无法更改。

我们建议您采用更严格的策略,如:

  • 必须包含字符组合,此组合至少包含以下字符类型中的 3 种:

    • 大写字符

    • 小写字符

    • 数字

    • 非字母数字字符 (!&#$^<>-)

  • 不得包含字典字或稍微修改过的字典字。

  • 不得与最近使用的密码相同或类似。

将身份验证应用于 ElastiCache for Redis 命令

如果要求用户在受密码保护的 Redis 服务器上输入密码,请在创建复制组或集群时以及在复制组或集群的所有后续命令上包括参数 --auth-token(API:AuthToken)与正确的密码。

下面的 AWS CLI 操作将创建一个启用传输中加密 (TLS) 并具有 AUTH 令牌“This-is-a-sample-token”的复制组。用已存在的子网组替换子网组 sng-test

关键参数

  • --engine—必须是 redis

  • --engine-version—必须是 3.2.6、4.0.10 或更高版本。

  • --transit-encryption-enabled—身份验证和符合 HIPAA 要求所必需的。

  • --auth-token—符合 HIPAA 要求所必需的。必须是用于这个受密码保护的 Redis 服务器的正确密码。

  • --cache-subnet-group—符合 HIPAA 要求所必需的。

对于 Linux, OS X, or Unix:

aws elasticache create-replication-group \ --replication-group-id authtestgroup \ --replication-group-description authtest \ --engine redis \ --engine-version 4.0.10 \ --cache-node-type cache.m4.large \ --num-node-groups 1 \ --replicas-per-node-group 2 \ --cache-parameter-group default.redis3.2.cluster.on \ --transit-encryption-enabled \ --auth-token This-is-a-sample-token \ --cache-subnet-group sng-test

对于 Windows:

aws elasticache create-replication-group ^ --replication-group-id authtestgroup ^ --replication-group-description authtest ^ --engine redis ^ --engine-version 4.0.10 ^ --cache-node-type cache.m4.large ^ --num-node-groups 1 ^ --replicas-per-node-group 2 ^ --cache-parameter-group default.redis3.2.cluster.on ^ --transit-encryption-enabled ^ --auth-token This-is-a-sample-token ^ --cache-subnet-group sng-test

相关主题