تكوين التحكم في الوصول المستند إلى الدور باستخدام نهج الوصول إلى البيانات

تعد إدارة الوصول إلى Azure Cache لمثيل Redis أمرا بالغ الأهمية للتأكد من أن المستخدمين المناسبين لديهم حق الوصول إلى المجموعة الصحيحة من البيانات والأوامر. في الإصدار 6 من Redis، تم تقديم قائمة التحكم بالوصول (ACL). يحدد ACL المستخدم الذي يمكنه تنفيذ أوامر معينة، والمفاتيح التي يمكن للمستخدم الوصول إليها. على سبيل المثال، يمكنك منع مستخدمين محددين من حذف المفاتيح في ذاكرة التخزين المؤقت باستخدام أمر DEL .

يدمج Azure Cache for Redis الآن وظيفة ACL هذه مع معرف Microsoft Entra للسماح لك بتكوين نهج الوصول إلى البيانات لكيان خدمة التطبيق والهوية المدارة.

توفر ذاكرة التخزين المؤقت Azure ل Redis ثلاثة نهج وصول مضمنة: مالك البيانات والمساهم في البيانات وقارئ البيانات. إذا كانت نهج الوصول المضمنة لا تفي بمتطلبات حماية البيانات وعزلها، يمكنك إنشاء واستخدام نهج الوصول إلى البيانات المخصصة الخاصة بك كما هو موضح في تكوين نهج الوصول إلى البيانات المخصصة.

نطاق التوفر

المستوى أساسي ،وقياسي، ومتميز Enterprise وEnterprise Flash
‏‏التوفر ‏‏نعم‬ لا

المتطلبات الأساسية والقيود

  • لا يتم دعم Redis ACL ونهج الوصول إلى البيانات على Azure Cache لمثيلات Redis التي تقوم بتشغيل الإصدار 4 من Redis.
  • لا يتم دعم Redis ACL ونهج الوصول إلى البيانات على Azure Cache لمثيلات Redis التي تعتمد على الخدمات السحابية.
  • يتم دعم مصادقة Microsoft Entra والتخويل لاتصالات SSL فقط.
  • تم حظر بعض أوامر Redis.

أذونات نهج الوصول إلى البيانات

كما هو موثق في قائمة التحكم في الوصول إلى Redis، يسمح ACL في Redis الإصدار 6.0 بتكوين أذونات الوصول لثلاث مناطق:

فئات الأوامر

أنشأ Redis مجموعات من الأوامر مثل الأوامر الإدارية والأوامر الخطرة وما إلى ذلك لتسهيل تعيين الأذونات على مجموعة من الأوامر.

  • استخدم +@commandcategory للسماح بفئة أوامر
  • استخدم -@commandcategory لمنع فئة أوامر

لا تزال هذه الأوامر محظورة. المجموعات التالية هي فئات أوامر مفيدة يدعمها Redis. لمزيد من المعلومات حول فئات الأوامر، راجع القائمة الكاملة تحت العنوان فئات الأوامر.

  • admin
    • الأوامر الإدارية. لا تحتاج التطبيقات العادية أبدا إلى استخدام هذه، بما في ذلك MONITORو SHUTDOWNوغيرها.
  • dangerous
    • أوامر خطرة محتملة. يجب مراعاة كل منها بعناية لأسباب مختلفة، بما في ذلك FLUSHALL، SORTRESTOREو، KEYSو، CLIENTو، DEBUGINFOCONFIG
  • keyspace
    • الكتابة أو القراءة من المفاتيح أو قواعد البيانات أو بيانات التعريف الخاصة بها بطريقة غير محددة النوع، بما في ذلك DELو RENAMETTLRESTOREEXISTSFLUSHALLDUMPDBSIZEKEYSEXPIREو المزيد. الأوامر التي يمكنها تعديل مساحة المفتاح أو المفتاح أو بيانات التعريف لها أيضا فئة الكتابة. الأوامر التي تقرأ مساحة المفتاح أو المفتاح أو بيانات التعريف فقط لها فئة القراءة.
  • pubsub
    • الأوامر المتعلقة ب PubSub.
  • read
    • القراءة من المفاتيح أو القيم أو بيانات التعريف. الأوامر التي لا تتفاعل مع المفاتيح، لا تحتوي على قراءة أو كتابة.
  • set
    • نوع البيانات: المجموعات ذات الصلة.
  • sortedset
    • نوع البيانات: المجموعات التي تم فرزها ذات الصلة.
  • stream
    • نوع البيانات: التدفقات ذات الصلة.
  • string
    • نوع البيانات: السلاسل ذات الصلة.
  • write
    • الكتابة إلى المفاتيح (القيم أو بيانات التعريف).

الأوامر

تسمح لك الأوامر بالتحكم في الأوامر المحددة التي يمكن تشغيلها بواسطة مستخدم Redis معين.

  • استخدم +command للسماح بأمر.
  • استخدم -command لمنع أمر.

المفاتيح

تسمح لك المفاتيح بالتحكم في الوصول إلى مفاتيح أو مجموعات معينة من المفاتيح المخزنة في ذاكرة التخزين المؤقت.

  • يستخدم ~<pattern> لتوفير نمط للمفاتيح.

  • استخدم إما ~* أو allkeys للإشارة إلى أن أذونات فئة الأمر تنطبق على جميع المفاتيح في مثيل ذاكرة التخزين المؤقت.

كيفية تحديد الأذونات

لتحديد الأذونات، تحتاج إلى إنشاء سلسلة لحفظها كنهج وصول مخصص، ثم تعيين السلسلة إلى Azure Cache لمستخدم Redis.

تحتوي القائمة التالية على بعض الأمثلة على سلاسل الأذونات لسيناريوهات مختلفة.

  • السماح للتطبيق بتنفيذ جميع الأوامر على جميع المفاتيح

    سلسلة الأذونات: +@all allkeys

  • السماح للتطبيق بتنفيذ أوامر القراءة فقط

    سلسلة الأذونات: +@read ~*

  • السماح للتطبيق بتنفيذ فئة أوامر القراءة وتعيين الأمر على المفاتيح ذات البادئة Az.

    سلسلة الأذونات: +@read +set ~Az*

تكوين نهج وصول مخصص إلى البيانات للتطبيق الخاص بك

  1. في مدخل Microsoft Azure، حدد Azure Cache لمثيل Redis حيث تريد تكوين المصادقة المستندة إلى الرمز المميز ل Microsoft Entra.

  2. من قائمة Resource، حدد Data Access configuration.

    لقطة شاشة تعرض تكوين الوصول إلى البيانات المميز في قائمة الموارد.

  3. حدد إضافة واختر نهج وصول جديد.

    لقطة شاشة تعرض نموذجا لإضافة نهج وصول مخصص.

  4. أدخل اسما لنهج الوصول الخاص بك.

  5. تكوين الأذونات وفقا لمتطلباتك.

  6. لإضافة مستخدم إلى نهج الوصول باستخدام معرف Microsoft Entra، يجب أولا تمكين معرف Microsoft Entra عن طريق تحديد Authentication من قائمة Resource.

  7. حدد Enable Microsoft Entra Authentication كعلامة تبويب في جزء العمل.

  8. إذا لم يكن محددا بالفعل، فحدد المربع المسمى Enable Microsoft Entra Authentication وحدد OK. ثم حدد حفظ.

    لقطة شاشة لمصادقة الوصول إلى Microsoft Entra ID.

  9. يظهر مربع حوار منبثق يسألك عما إذا كنت تريد تحديث التكوين الخاص بك، ويبلغك أن الأمر يستغرق عدة دقائق. حدد نعم.

    هام

    بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.

تكوين عميل Redis لاستخدام معرف Microsoft Entra

الآن بعد أن قمت بتكوين نهج الوصول إلى مستخدم Redis والبيانات لتكوين التحكم في الوصول المستند إلى الدور، تحتاج إلى تحديث سير عمل العميل لدعم المصادقة باستخدام مستخدم/كلمة مرور معينة. لمعرفة كيفية تكوين تطبيق العميل للاتصال بمثيل ذاكرة التخزين المؤقت كمستخدم Redis محدد، راجع تكوين عميل Redis لاستخدام Microsoft Entra.

الخطوات التالية