Szerepköralapú hozzáférés-vezérlés konfigurálása adathozzáférési szabályzattal
Az Azure Cache for Redis-példányhoz való hozzáférés kezelése kritikus fontosságú annak biztosítása érdekében, hogy a megfelelő felhasználók hozzáférjenek a megfelelő adatkészlethez és parancsokhoz. A Redis 6-os verziójában bevezették a hozzáférés-vezérlési listát (ACL). Az ACL korlátozza, hogy mely felhasználó hajthat végre bizonyos parancsokat, és hogy a felhasználó milyen kulcsokhoz férhet hozzá. Letilthatja például, hogy bizonyos felhasználók a DEL-paranccsal töröljék a gyorsítótár kulcsait.
Az Azure Cache for Redis mostantól integrálja ezt az ACL-funkciót a Microsoft Entra-azonosítóval, így konfigurálhatja az adatelérési szabályzatokat az alkalmazás szolgáltatásnevéhez és felügyelt identitásához.
Az Azure Cache for Redis három beépített hozzáférési szabályzatot kínál: Tulajdonos, Közreműködő és Olvasó. Ha a beépített hozzáférési szabályzatok nem felelnek meg az adatvédelmi és elkülönítési követelményeknek, létrehozhatja és használhatja saját egyéni adathozzáférési szabályzatát az egyéni adathozzáférési szabályzat konfigurálása című cikkben leírtak szerint.
A rendelkezésre állás hatóköre
Tier | Alap, Normál, Prémium | Enterprise, Enterprise Flash |
---|---|---|
Elérhetőség | Igen | Nem |
Előfeltételek és korlátozások
- A Redis ACL és az adatelérési szabályzatok nem támogatottak a Redis 4-es verzióját futtató Azure Cache for Redis-példányokon.
- A Redis ACL- és adatelérési szabályzatok nem támogatottak a Cloud Servicestől függő Azure Cache for Redis-példányokon.
- A Microsoft Entra-hitelesítés és -engedélyezés csak SSL-kapcsolatok esetén támogatott.
- Néhány Redis-parancs le van tiltva.
Az adathozzáférési szabályzat engedélyei
A Redis hozzáférés-vezérlési listájában leírtak szerint a Redis 6.0-s verziójában az ACL három területen teszi lehetővé a hozzáférési engedélyek konfigurálását:
Parancskategóriák
A Redis olyan parancsok csoportosítását hozta létre, mint a felügyeleti parancsok, a veszélyes parancsok stb., hogy megkönnyítse a parancscsoportok engedélyeinek beállítását.
- Parancskategória
+@commandcategory
engedélyezése - Parancskategória
-@commandcategory
letiltása
Ezek a parancsok továbbra is le vannak tiltva. Az alábbi csoportok olyan hasznos parancskategóriák, amelyeket a Redis támogat. A parancskategóriákról további információt a parancskategóriák fejléc alatti teljes lista tartalmaz.
admin
- Rendszergazda osztogató parancsok. A normál alkalmazásoknak soha nem kell ezeket használniuk, többek között
MONITOR
,SHUTDOWN
és másokat.
- Rendszergazda osztogató parancsok. A normál alkalmazásoknak soha nem kell ezeket használniuk, többek között
dangerous
- Potenciálisan veszélyes parancsok. Mindegyiknek körültekintőnek kell lennie különböző okokból, beleértve a
FLUSHALL
, ,RESTORE
,SORT
,KEYS
CLIENT
,DEBUG
, ,INFO
, , ,CONFIG
, és mások.
- Potenciálisan veszélyes parancsok. Mindegyiknek körültekintőnek kell lennie különböző okokból, beleértve a
keyspace
- Kulcsok, adatbázisok vagy azok metaadatainak írása vagy olvasása agnosztikus módon, beleértve
DEL
a , ,RESTORE
,DUMP
DBSIZE
EXPIRE
EXISTS
KEYS
RENAME
,TTL
FLUSHALL
stb. A kulcstér, kulcs vagy metaadatok módosítására képes parancsok írási kategóriával is rendelkeznek. A csak a kulcsteret, kulcsot vagy metaadatokat olvasó parancsok olvasási kategóriája van.
- Kulcsok, adatbázisok vagy azok metaadatainak írása vagy olvasása agnosztikus módon, beleértve
pubsub
- PubSub-hez kapcsolódó parancsok.
read
- Olvasás kulcsokból, értékekből vagy metaadatokból. Azok a parancsok, amelyek nem használják a kulcsokat, nem rendelkeznek olvasással vagy írással.
set
- Adattípus: kapcsolódó készletek.
sortedset
- Adattípus: kapcsolódó rendezett készletek.
stream
- Adattípus: streamekhez kapcsolódó.
string
- Adattípus: kapcsolódó sztringek.
write
- Kulcsok írása (értékek vagy metaadatok).
Parancsok
A parancsokkal szabályozhatja, hogy egy adott Redis-felhasználó mely parancsokat futtathatja.
- Parancs engedélyezésére használható
+command
. - Parancs letiltására használható
-command
.
Kulcsok
A kulcsok lehetővé teszik a gyorsítótárban tárolt kulcsok vagy kulcscsoportok hozzáférésének szabályozását.
A kulcsok mintájának megadására szolgál
~<pattern>
.Használja vagy
~*
allkeys
jelezze, hogy a parancskategória-engedélyek a gyorsítótárpéldány összes kulcsára vonatkoznak.
Engedélyek megadása
Engedélyek megadásához létre kell hoznia egy sztringet, amelyet egyéni hozzáférési szabályzatként szeretne menteni, majd hozzárendelnie a sztringet az Azure Cache for Redis-felhasználóhoz.
Az alábbi lista néhány példát tartalmaz a különböző forgatókönyvek engedélysztringjeire.
Az alkalmazás minden parancs végrehajtásának engedélyezése az összes kulcson
Engedélysztring:
+@all allkeys
Csak olvasási parancsok végrehajtásának engedélyezése az alkalmazás számára
Engedélysztring:
+@read ~*
Olvasási parancskategória végrehajtásának engedélyezése az alkalmazásnak, és parancs beállítása az előtaggal
Az
rendelkező kulcsokra.Engedélysztring:
+@read +set ~Az*
Egyéni adathozzáférési szabályzat konfigurálása az alkalmazáshoz
Az Azure Portalon válassza ki azt az Azure Cache for Redis-példányt, ahol konfigurálni szeretné a Microsoft Entra tokenalapú hitelesítést.
Az Erőforrás menüben válassza az Adatelérési konfiguráció lehetőséget.
Válassza a Hozzáadás és az Új hozzáférési szabályzat lehetőséget.
Adjon nevet a hozzáférési szabályzatnak.
Az engedélyeket a követelményeknek megfelelően konfigurálhatja.
Ha felhasználót szeretne hozzáadni a hozzáférési szabályzathoz a Microsoft Entra ID használatával, először engedélyeznie kell a Microsoft Entra-azonosítót az Erőforrás menü Hitelesítés elemének kiválasztásával.
A munkaablakban válassza a Microsoft Entra-hitelesítés engedélyezése fület.
Ha még nincs bejelölve, jelölje be a Microsoft Entra-hitelesítés engedélyezése jelölőnégyzetet, és válassza az OK gombot. Ezt követően válassza a Mentés lehetőséget.
Megjelenik egy előugró párbeszédpanel, amely megkérdezi, hogy frissíteni szeretné-e a konfigurációt, és tájékoztatja, hogy az több percet vesz igénybe. Válassza az Igen lehetőséget.
Fontos
Az engedélyezési művelet befejeződése után a gyorsítótárpéldány csomópontjai újraindulnak az új konfiguráció betöltéséhez. Javasoljuk, hogy ezt a műveletet a karbantartási időszak alatt vagy a csúcsidőszakon kívül végezze el. A művelet akár 30 percet is igénybe vehet.
A Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára
Most, hogy konfigurálta a Redis felhasználói és adathozzáférési szabályzatát a szerepköralapú hozzáférés-vezérlés konfigurálásához, frissítenie kell az ügyfél-munkafolyamatot, hogy támogassa az adott felhasználó/jelszó használatával történő hitelesítést. Ha tudni szeretné, hogyan konfigurálhatja az ügyfélalkalmazást úgy, hogy adott Redis-felhasználóként csatlakozzon a gyorsítótárpéldányhoz, olvassa el a Redis-ügyfél konfigurálása a Microsoft Entra-azonosító használatára című témakört.