Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Služba Azure Cache for Redis oznámila časovou osu vyřazení všech skladových položek. Doporučujeme přesunout stávající instance Azure Cache for Redis do Azure Managed Redis , jakmile budete moct.
Další podrobnosti o ukončení podpory:
Správa přístupu k instanci azure Redis Cache je důležitá k zajištění toho, aby měli správní uživatelé přístup ke správné sadě dat a příkazů. Verze Redis 6 zavedla seznam řízení přístupu (ACL), který uvádí klíče, ke kterým mají konkrétní uživatelé přístup, a příkazy, které mohou spustit. Můžete například zakázat použití příkazu DEL konkrétním uživatelům k odstranění klíčů v mezipaměti.
Azure Cache for Redis integruje tuto funkci ACL se službou Microsoft Entra, která umožňuje konfigurovat a přiřazovat zásady přístupu k datům aplikace pro uživatele, principál služby a spravovanou identitu vaší aplikace. Azure Cache for Redis nabízí tři předdefinované zásady přístupu, které můžete přiřadit prostřednictvím řízení přístupu na základě role (RBAC): Vlastník dat, Přispěvatel dat a Čtenář dat.
Pokud předdefinované zásady přístupu nevyhovují vašim požadavkům na ochranu a izolaci dat, můžete vytvořit a použít vlastní zásady přístupu k datům. Tento článek popisuje konfiguraci vlastních zásad přístupu k datům pro Azure Cache for Redis a umožnění řízení přístupu na základě rolí prostřednictvím ověřování Microsoft Entra.
Rozsah dostupnosti
| Úroveň | Základní, Standardní a Prémiové | Enterprise, Enterprise Flash |
|---|---|---|
| Dostupnost | Ano | Ne |
Omezení
- Konfigurace zásad přístupu k datům se nepodporuje na úrovních Enterprise a Enterprise Flash.
- Seznamy ACL a zásady přístupu k datům Redis nejsou podporované v instancích Azure Redis, na kterých běží Redis verze 4.
- Ověřování a autorizace Microsoft Entra se podporuje pouze pro připojení SSL (Secure Socket Layer).
- Některé příkazy Redis jsou ve službě Azure Cache for Redis blokované. Další informace najdete v tématu Příkazy Redis nepodporované ve službě Azure Cache for Redis.
Oprávnění Redis ACL
ACL Redis ve verzi 6.0 umožňuje nastavit přístupová oprávnění pro tři oblasti: kategorie příkazů, příkazy a klíče.
Kategorie příkazů
Redis vytvořil kategorie příkazů, jako jsou příkazy pro správu a nebezpečné příkazy, aby bylo nastavení oprávnění pro skupinu příkazů jednodušší. V řetězci oprávnění můžete povolit +@<category> kategorii příkazů nebo -@<category> zakázat kategorii příkazů.
Redis podporuje následující užitečné kategorie příkazů. Další informace a úplný seznam najdete v části Kategorie příkazů v dokumentaci k Redis ACL.
| Kategorie | Popis |
|---|---|
admin |
Příkazy pro správu, například MONITOR a SHUTDOWN. Normální aplikace nemusí tyto příkazy používat. |
dangerous |
Potenciálně nebezpečné příkazy, včetně FLUSHALL, RESTORE, SORT, KEYS, CLIENT, DEBUG, INFO a CONFIG. Zvažte každou s opatrností z různých důvodů. |
keyspace |
Zahrnuje DEL, RESTORE, DUMP, RENAME, EXISTS, DBSIZE, KEYS, EXPIRE, TTL, a FLUSHALL. Zápis nebo čtení z klíčů, databází nebo jejich metadat způsobem, který je nezávislý na typu. Příkazy, které pouze čtou prostor klíčů, klíč nebo metadata, spadají do read kategorie. Příkazy, které mohou změnit prostor klíčů, klíč nebo metadata, také mají write kategorii. |
pubsub |
Příkazy související s pubSub. |
read |
Čtení z klíčů, hodnot nebo metadat Příkazy, které neinteragují s klíči, nemají ani read, ani write. |
set |
Datový typ: sady související. |
sortedset |
Datový typ: Seřazené sady související. |
stream |
Datový typ: datové proudy související. |
string |
Datový typ: řetězce související. |
write |
Zápis hodnot nebo metadat do klíčů |
Poznámka:
Příkazy blokované pro Azure Redis zůstanou v rámci kategorií blokované.
Příkazy
Příkazy umožňují určit, které konkrétní příkazy může konkrétní uživatel Redis spustit. V řetězci oprávnění použijte +<command> k povolení příkazu nebo -<command> zakázání příkazu.
Klávesy
Klíče umožňují řídit přístup ke konkrétním klíčům nebo skupinám klíčů uložených v mezipaměti. Použijte ~<pattern> v řetězci oprávnění k zadání vzoru pro klíče. Použijte buď ~* nebo allkeys označte, že oprávnění platí pro všechny klíče v mezipaměti.
Konfigurace vlastních zásad přístupu k datům pro vaši aplikaci
Pokud chcete nakonfigurovat vlastní zásady přístupu k datům, vytvoříte řetězec oprávnění, který se použije jako vlastní zásady přístupu, a povolíte ověřování Microsoft Entra pro vaši mezipaměť.
Zadání oprávnění
Nakonfigurujte řetězce oprávnění podle vašich požadavků. Následující příklady ukazují řetězce oprávnění pro různé scénáře:
| Řetězec oprávnění | Popis |
|---|---|
+@all allkeys |
Povolit aplikaci spouštět všechny příkazy na všech klíčích. |
+@read ~* |
Povolit aplikaci spouštět pouze read kategorii příkazů. |
+@read +set ~Az* |
Povolit aplikaci vykonávat kategorii příkazů read a nastavit příkaz na klíčích s předponou Az. |
Vytvoření vlastních zásad přístupu k datům
Na webu Azure Portal vyberte mezipaměť Azure Redis, ve které chcete vytvořit zásady přístupu k datům.
V levé navigační nabídce vyberte Konfigurace přístupu k datům v části Nastavení .
Na stránce Konfigurace přístupu k datům vyberte Přidat>nové zásady přístupu.
Na obrazovce Přidat nebo upravit vlastní zásady přístupu zadejte název zásad přístupu.
V části Oprávnění přidejte vlastní řetězec oprávnění a pak vyberte Použít.
Vlastní zásady se teď zobrazí na kartě Zásady přístupu na stránce Konfigurace přístupu k datům společně se třemi integrovanými zásadami Azure Redis.
Povolit ověřování Microsoft Entra
Pokud chcete přiřadit uživatele k zásadám přístupu pomocí Microsoft Entra, musíte mít v mezipaměti povolené ověřování Microsoft Entra místo ověřování pomocí přístupových klíčů. Pokud chcete zkontrolovat metodu ověřování, vyberte v části Nastavení v levé navigační nabídce mezipaměti možnost Ověřování.
Pokud je na obrazovce Ověřování vybrána možnost Zakázat ověřování přístupových klíčů a na obrazovce se nezobrazí žádné přístupové klíče, vaše mezipaměť už používá ověřování Microsoft Entra. V opačném případě zaškrtněte políčko vedle možnosti Zakázat ověřování přístupových klíčů a pak vyberte Uložit.
Odpovězte na automaticky otevírané dialogové okno s dotazem, jestli chcete zakázat ověřování pomocí přístupových klíčů.
Důležité
Po dokončení operace povolení Microsoft Entra se uzly v instanci mezipaměti restartují k načtení nové konfigurace. Operace může trvat až 30 minut. Nejlepší je tuto operaci provést během časového období údržby nebo mimo špičku pracovní doby.
Konfigurace klienta Redis tak, aby používal Microsoft Entra ID
Většina klientů Azure Cache for Redis předpokládá, že k ověřování se používá heslo a přístupový klíč. Možná budete muset aktualizovat pracovní postup klienta tak, aby podporoval ověřování a autorizaci pomocí konkrétního uživatelského jména a hesla Microsoft Entra. Informace o tom, jak nakonfigurovat klientskou aplikaci tak, aby se připojila k vaší instanci mezipaměti jako konkrétní uživatel Redis, najdete v tématu Konfigurace klienta Redis tak, aby používal Microsoft Entra ID.