Share via

Szerepköralapú hozzáférés-vezérlés konfigurálása adathozzáférési szabályzattal

  • Cikk

Az Azure Cache for Redis-példányhoz való hozzáférés kezelése kritikus fontosságú annak biztosítása érdekében, hogy a megfelelő felhasználók hozzáférjenek a megfelelő adatkészlethez és parancsokhoz. A Redis 6-os verziójában bevezették a hozzáférés-vezérlési listát (ACL). Az ACL korlátozza, hogy mely felhasználó hajthat végre bizonyos parancsokat, és hogy a felhasználó milyen kulcsokhoz férhet hozzá. Letilthatja például, hogy bizonyos felhasználók a DEL-paranccsal töröljék a gyorsítótár kulcsait.

Az Azure Cache for Redis mostantól integrálja ezt az ACL-funkciót a Microsoft Entra-azonosítóval, így konfigurálhatja az adatelérési szabályzatokat az alkalmazás szolgáltatásnevéhez és felügyelt identitásához.

Az Azure Cache for Redis három beépített hozzáférési szabályzatot kínál: Tulajdonos, Közreműködő és Olvasó. Ha a beépített hozzáférési szabályzatok nem felelnek meg az adatvédelmi és elkülönítési követelményeknek, létrehozhatja és használhatja saját egyéni adathozzáférési szabályzatát az egyéni adathozzáférési szabályzat konfigurálása című cikkben leírtak szerint.

A rendelkezésre állás hatóköre

Tier Alap, Normál, Prémium Enterprise, Enterprise Flash
Elérhetőség Igen Nem

Előfeltételek és korlátozások

  • A Redis ACL és az adatelérési szabályzatok nem támogatottak a Redis 4-es verzióját futtató Azure Cache for Redis-példányokon.
  • A Redis ACL- és adatelérési szabályzatok nem támogatottak a Cloud Servicestől függő Azure Cache for Redis-példányokon.
  • A Microsoft Entra-hitelesítés és -engedélyezés csak SSL-kapcsolatok esetén támogatott.
  • Néhány Redis-parancs le van tiltva.

Az adathozzáférési szabályzat engedélyei

A Redis hozzáférés-vezérlési listájában leírtak szerint a Redis 6.0-s verziójában az ACL három területen teszi lehetővé a hozzáférési engedélyek konfigurálását:

Parancskategóriák

A Redis olyan parancsok csoportosítását hozta létre, mint a felügyeleti parancsok, a veszélyes parancsok stb., hogy megkönnyítse a parancscsoportok engedélyeinek beállítását.

  • Parancskategória +@commandcategory engedélyezése
  • Parancskategória -@commandcategory letiltása

Ezek a parancsok továbbra is le vannak tiltva. Az alábbi csoportok olyan hasznos parancskategóriák, amelyeket a Redis támogat. A parancskategóriákról további információt a parancskategóriák fejléc alatti teljes lista tartalmaz.

  • admin
    • Rendszergazda osztogató parancsok. A normál alkalmazásoknak soha nem kell ezeket használniuk, többek között MONITOR, SHUTDOWNés másokat.
  • dangerous
    • Potenciálisan veszélyes parancsok. Mindegyiknek körültekintőnek kell lennie különböző okokból, beleértve a FLUSHALL, , RESTORE, SORT, KEYSCLIENT, DEBUG, , INFO, , , CONFIG, és mások.
  • keyspace
    • Kulcsok, adatbázisok vagy azok metaadatainak írása vagy olvasása agnosztikus módon, beleértve DELa , , RESTORE, DUMPDBSIZEEXPIREEXISTSKEYSRENAME, TTLFLUSHALLstb. A kulcstér, kulcs vagy metaadatok módosítására képes parancsok írási kategóriával is rendelkeznek. A csak a kulcsteret, kulcsot vagy metaadatokat olvasó parancsok olvasási kategóriája van.
  • pubsub
    • PubSub-hez kapcsolódó parancsok.
  • read
    • Olvasás kulcsokból, értékekből vagy metaadatokból. Azok a parancsok, amelyek nem használják a kulcsokat, nem rendelkeznek olvasással vagy írással.
  • set
    • Adattípus: kapcsolódó készletek.
  • sortedset
    • Adattípus: kapcsolódó rendezett készletek.
  • stream
    • Adattípus: streamekhez kapcsolódó.
  • string
    • Adattípus: kapcsolódó sztringek.
  • write
    • Kulcsok írása (értékek vagy metaadatok).

Parancsok

A parancsokkal szabályozhatja, hogy egy adott Redis-felhasználó mely parancsokat futtathatja.

  • Parancs engedélyezésére használható +command .
  • Parancs letiltására használható -command .

Kulcsok

A kulcsok lehetővé teszik a gyorsítótárban tárolt kulcsok vagy kulcscsoportok hozzáférésének szabályozását.

  • A kulcsok mintájának megadására szolgál ~<pattern> .

  • Használja vagy ~*allkeys jelezze, hogy a parancskategória-engedélyek a gyorsítótárpéldány összes kulcsára vonatkoznak.

Engedélyek megadása

Engedélyek megadásához létre kell hoznia egy sztringet, amelyet egyéni hozzáférési szabályzatként szeretne menteni, majd hozzárendelnie a sztringet az Azure Cache for Redis-felhasználóhoz.

Az alábbi lista néhány példát tartalmaz a különböző forgatókönyvek engedélysztringjeire.

  • Az alkalmazás minden parancs végrehajtásának engedélyezése az összes kulcson

    Engedélysztring: +@all allkeys

  • Csak olvasási parancsok végrehajtásának engedélyezése az alkalmazás számára

    Engedélysztring: +@read ~*

  • Olvasási parancskategória végrehajtásának engedélyezése az alkalmazásnak, és parancs beállítása az előtaggal Azrendelkező kulcsokra.

    Engedélysztring: +@read +set ~Az*

Egyéni adathozzáférési szabályzat konfigurálása az alkalmazáshoz

  1. Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, ahol konfigurálni szeretné a Microsoft Entra tokenalapú hitelesítést.

  2. Az Erőforrás menüben válassza az Adatelérési konfiguráció lehetőséget.

    Képernyőkép az Erőforrás menüben kiemelt Adatelérési konfigurációról.

  3. Válassza a Hozzáadás és az Új hozzáférési szabályzat lehetőséget.

    Képernyőkép az egyéni hozzáférési szabályzat hozzáadására szolgáló űrlapról.

  4. Adjon nevet a hozzáférési szabályzatnak.

  5. Az engedélyeket a követelményeknek megfelelően konfigurálhatja.

  6. Ha felhasználót szeretne hozzáadni a hozzáférési szabályzathoz a Microsoft Entra ID használatával, először engedélyeznie kell a Microsoft Entra-azonosítót az Erőforrás menü Hitelesítés elemének kiválasztásával.

  7. A munkaablakban válassza a Microsoft Entra-hitelesítés engedélyezése fület.

  8. Ha még nincs bejelölve, jelölje be a Microsoft Entra-hitelesítés engedélyezése jelölőnégyzetet, és válassza az OK gombot. Ezt követően válassza a Mentés lehetőséget.

    Képernyőkép a Microsoft Entra-azonosító hozzáférés-engedélyezéséről.

  9. Megjelenik egy előugró párbeszédpanel, amely megkérdezi, hogy frissíteni szeretné-e a konfigurációt, és tájékoztatja, hogy az több percet vesz igénybe. Válassza az Igen lehetőséget.

    Fontos

    Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.

A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára

Most, hogy konfigurálta a Redis felhasználói és adathozzáférési szabályzatát a szerepköralapú hozzáférés-vezérlés konfigurálásához, frissítenie kell az ügyfél-munkafolyamatot, hogy támogassa az adott felhasználó/jelszó használatával történő hitelesítést. Ha tudni szeretné, hogyan konfigurálhatja az ügyfélalkalmazást úgy, hogy adott Redis-felhasználóként csatlakozzon a gyorsítótárpéldányhoz, olvassa el a Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára című témakört.

Következő lépések