تكوين التحكم في الوصول المستند إلى الدور باستخدام نهج الوصول إلى البيانات
تعد إدارة الوصول إلى Azure Cache لمثيل Redis أمرا بالغ الأهمية للتأكد من أن المستخدمين المناسبين لديهم حق الوصول إلى المجموعة الصحيحة من البيانات والأوامر. في الإصدار 6 من Redis، تم تقديم قائمة التحكم بالوصول (ACL). يحدد ACL المستخدم الذي يمكنه تنفيذ أوامر معينة، والمفاتيح التي يمكن للمستخدم الوصول إليها. على سبيل المثال، يمكنك منع مستخدمين محددين من حذف المفاتيح في ذاكرة التخزين المؤقت باستخدام أمر DEL .
يدمج Azure Cache for Redis الآن وظيفة ACL هذه مع معرف Microsoft Entra للسماح لك بتكوين نهج الوصول إلى البيانات لكيان خدمة التطبيق والهوية المدارة.
توفر ذاكرة التخزين المؤقت Azure ل Redis ثلاثة نهج وصول مضمنة: مالك البيانات والمساهم في البيانات وقارئ البيانات. إذا كانت نهج الوصول المضمنة لا تفي بمتطلبات حماية البيانات وعزلها، يمكنك إنشاء واستخدام نهج الوصول إلى البيانات المخصصة الخاصة بك كما هو موضح في تكوين نهج الوصول إلى البيانات المخصصة.
نطاق التوفر
المستوى | أساسي ،وقياسي، ومتميز | Enterprise وEnterprise Flash |
---|---|---|
التوفر | نعم | لا |
المتطلبات الأساسية والقيود
- لا يتم دعم Redis ACL ونهج الوصول إلى البيانات على Azure Cache لمثيلات Redis التي تقوم بتشغيل الإصدار 4 من Redis.
- لا يتم دعم Redis ACL ونهج الوصول إلى البيانات على Azure Cache لمثيلات Redis التي تعتمد على الخدمات السحابية.
- يتم دعم مصادقة Microsoft Entra والتخويل لاتصالات SSL فقط.
- تم حظر بعض أوامر Redis.
أذونات نهج الوصول إلى البيانات
كما هو موثق في قائمة التحكم في الوصول إلى Redis، يسمح ACL في Redis الإصدار 6.0 بتكوين أذونات الوصول لثلاث مناطق:
فئات الأوامر
أنشأ Redis مجموعات من الأوامر مثل الأوامر الإدارية والأوامر الخطرة وما إلى ذلك لتسهيل تعيين الأذونات على مجموعة من الأوامر.
- استخدم
+@commandcategory
للسماح بفئة أوامر - استخدم
-@commandcategory
لمنع فئة أوامر
لا تزال هذه الأوامر محظورة. المجموعات التالية هي فئات أوامر مفيدة يدعمها Redis. لمزيد من المعلومات حول فئات الأوامر، راجع القائمة الكاملة تحت العنوان فئات الأوامر.
admin
- الأوامر الإدارية. لا تحتاج التطبيقات العادية أبدا إلى استخدام هذه، بما في ذلك
MONITOR
وSHUTDOWN
وغيرها.
- الأوامر الإدارية. لا تحتاج التطبيقات العادية أبدا إلى استخدام هذه، بما في ذلك
dangerous
- أوامر خطرة محتملة. يجب مراعاة كل منها بعناية لأسباب مختلفة، بما في ذلك
FLUSHALL
،SORT
RESTORE
و،KEYS
و،CLIENT
و،DEBUG
INFO
CONFIG
- أوامر خطرة محتملة. يجب مراعاة كل منها بعناية لأسباب مختلفة، بما في ذلك
keyspace
- الكتابة أو القراءة من المفاتيح أو قواعد البيانات أو بيانات التعريف الخاصة بها بطريقة غير محددة النوع، بما في ذلك
DEL
وRENAME
TTL
RESTORE
EXISTS
FLUSHALL
DUMP
DBSIZE
KEYS
EXPIRE
و المزيد. الأوامر التي يمكنها تعديل مساحة المفتاح أو المفتاح أو بيانات التعريف لها أيضا فئة الكتابة. الأوامر التي تقرأ مساحة المفتاح أو المفتاح أو بيانات التعريف فقط لها فئة القراءة.
- الكتابة أو القراءة من المفاتيح أو قواعد البيانات أو بيانات التعريف الخاصة بها بطريقة غير محددة النوع، بما في ذلك
pubsub
- الأوامر المتعلقة ب PubSub.
read
- القراءة من المفاتيح أو القيم أو بيانات التعريف. الأوامر التي لا تتفاعل مع المفاتيح، لا تحتوي على قراءة أو كتابة.
set
- نوع البيانات: المجموعات ذات الصلة.
sortedset
- نوع البيانات: المجموعات التي تم فرزها ذات الصلة.
stream
- نوع البيانات: التدفقات ذات الصلة.
string
- نوع البيانات: السلاسل ذات الصلة.
write
- الكتابة إلى المفاتيح (القيم أو بيانات التعريف).
الأوامر
تسمح لك الأوامر بالتحكم في الأوامر المحددة التي يمكن تشغيلها بواسطة مستخدم Redis معين.
- استخدم
+command
للسماح بأمر. - استخدم
-command
لمنع أمر.
المفاتيح
تسمح لك المفاتيح بالتحكم في الوصول إلى مفاتيح أو مجموعات معينة من المفاتيح المخزنة في ذاكرة التخزين المؤقت.
يستخدم
~<pattern>
لتوفير نمط للمفاتيح.استخدم إما
~*
أوallkeys
للإشارة إلى أن أذونات فئة الأمر تنطبق على جميع المفاتيح في مثيل ذاكرة التخزين المؤقت.
كيفية تحديد الأذونات
لتحديد الأذونات، تحتاج إلى إنشاء سلسلة لحفظها كنهج وصول مخصص، ثم تعيين السلسلة إلى Azure Cache لمستخدم Redis.
تحتوي القائمة التالية على بعض الأمثلة على سلاسل الأذونات لسيناريوهات مختلفة.
السماح للتطبيق بتنفيذ جميع الأوامر على جميع المفاتيح
سلسلة الأذونات:
+@all allkeys
السماح للتطبيق بتنفيذ أوامر القراءة فقط
سلسلة الأذونات:
+@read ~*
السماح للتطبيق بتنفيذ فئة أوامر القراءة وتعيين الأمر على المفاتيح ذات البادئة
Az
.سلسلة الأذونات:
+@read +set ~Az*
تكوين نهج وصول مخصص إلى البيانات للتطبيق الخاص بك
في مدخل Microsoft Azure، حدد Azure Cache لمثيل Redis حيث تريد تكوين المصادقة المستندة إلى الرمز المميز ل Microsoft Entra.
من قائمة Resource، حدد Data Access configuration.
حدد إضافة واختر نهج وصول جديد.
أدخل اسما لنهج الوصول الخاص بك.
تكوين الأذونات وفقا لمتطلباتك.
لإضافة مستخدم إلى نهج الوصول باستخدام معرف Microsoft Entra، يجب أولا تمكين معرف Microsoft Entra عن طريق تحديد Authentication من قائمة Resource.
حدد Enable Microsoft Entra Authentication كعلامة تبويب في جزء العمل.
إذا لم يكن محددا بالفعل، فحدد المربع المسمى Enable Microsoft Entra Authentication وحدد OK. ثم حدد حفظ.
يظهر مربع حوار منبثق يسألك عما إذا كنت تريد تحديث التكوين الخاص بك، ويبلغك أن الأمر يستغرق عدة دقائق. حدد نعم.
هام
بمجرد اكتمال عملية التمكين، يتم إعادة تشغيل العقد في مثيل ذاكرة التخزين المؤقت لتحميل التكوين الجديد. نوصي بإجراء هذه العملية أثناء نافذة الصيانة أو خارج ساعات العمل القصوى. قد تستغرق العملية ما يصل إلى 30 دقيقة.
تكوين عميل Redis لاستخدام معرف Microsoft Entra
الآن بعد أن قمت بتكوين نهج الوصول إلى مستخدم Redis والبيانات لتكوين التحكم في الوصول المستند إلى الدور، تحتاج إلى تحديث سير عمل العميل لدعم المصادقة باستخدام مستخدم/كلمة مرور معينة. لمعرفة كيفية تكوين تطبيق العميل للاتصال بمثيل ذاكرة التخزين المؤقت كمستخدم Redis محدد، راجع تكوين عميل Redis لاستخدام Microsoft Entra.