Mengonfigurasi kontrol akses berbasis peran dengan Kebijakan Akses Data
Mengelola akses ke instans Azure Cache for Redis Sangat penting untuk memastikan bahwa pengguna yang tepat memiliki akses ke kumpulan data dan perintah yang tepat. Di Redis versi 6, Daftar Kontrol Akses (ACL) diperkenalkan. ACL membatasi pengguna mana yang dapat menjalankan perintah tertentu, dan kunci yang dapat diakses pengguna. Misalnya, Anda dapat melarang pengguna tertentu menghapus kunci di cache menggunakan perintah DEL .
Azure Cache for Redis sekarang mengintegrasikan fungsionalitas ACL ini dengan MICROSOFT Entra ID untuk memungkinkan Anda mengonfigurasi Kebijakan Akses Data untuk perwakilan layanan dan identitas terkelola aplikasi Anda.
Azure Cache for Redis menawarkan tiga kebijakan akses bawaan: Pemilik Data, Kontributor Data, dan Pembaca Data. Jika kebijakan akses bawaan tidak memenuhi persyaratan perlindungan dan isolasi data, Anda dapat membuat dan menggunakan kebijakan akses data kustom Anda sendiri seperti yang dijelaskan dalam Mengonfigurasi kebijakan akses data kustom.
Cakupan ketersediaan
| Tingkat | Dasar, Standar, Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Ketersediaan | Ya | Tidak |
Prasyarat dan batasan
- Kebijakan Redis ACL dan Akses Data tidak didukung pada instans Azure Cache for Redis yang menjalankan Redis versi 4.
- Kebijakan Redis ACL dan Akses Data tidak didukung pada instans Azure Cache for Redis yang bergantung pada Cloud Services.
- Autentikasi dan otorisasi Microsoft Entra hanya didukung untuk koneksi SSL.
- Beberapa perintah Redis diblokir.
Izin untuk kebijakan akses data Anda
Seperti yang didokumenkan pada Daftar Kontrol Akses Redis, ACL di Redis versi 6.0 memungkinkan konfigurasi izin akses untuk tiga area:
Kategori perintah
Redis telah membuat pengelompokan perintah seperti perintah administratif, perintah berbahaya, dll. untuk mempermudah pengaturan izin pada sekelompok perintah.
- Gunakan
+@commandcategoryuntuk mengizinkan kategori perintah - Gunakan
-@commandcategoryuntuk melarang kategori perintah
Perintah ini masih diblokir. Grup berikut adalah kategori perintah yang berguna yang didukung Redis. Untuk informasi selengkapnya tentang kategori perintah, lihat daftar lengkap di bawah judul Kategori Perintah.
admin- Perintah administratif. Aplikasi normal tidak perlu menggunakan ini, termasuk
MONITOR,SHUTDOWN, dan lainnya.
- Perintah administratif. Aplikasi normal tidak perlu menggunakan ini, termasuk
dangerous- Perintah yang berpotensi berbahaya. Masing-masing harus dipertimbangkan dengan hati-hati karena berbagai alasan, termasuk
FLUSHALL, , ,RESTORESORT,CLIENTKEYS,DEBUG,INFO,CONFIG, dan lainnya.
- Perintah yang berpotensi berbahaya. Masing-masing harus dipertimbangkan dengan hati-hati karena berbagai alasan, termasuk
keyspace- Menulis atau membaca dari kunci, database, atau metadatanya dengan cara agnostik jenis, termasuk
DEL,DUMPRESTORE,RENAME,EXISTS,KEYSDBSIZE,EXPIRE,TTL, ,FLUSHALL, dan banyak lagi. Perintah yang dapat mengubah keyspace, kunci, atau metadata juga memiliki kategori tulis. Perintah yang hanya membaca keyspace, kunci, atau metadata memiliki kategori baca.
- Menulis atau membaca dari kunci, database, atau metadatanya dengan cara agnostik jenis, termasuk
pubsub- Perintah terkait PubSub.
read- Membaca dari kunci, nilai, atau metadata. Perintah yang tidak berinteraksi dengan kunci, tidak memiliki baca atau tulis.
set- Jenis data: set terkait.
sortedset- Jenis data: set yang diurutkan terkait.
stream- Jenis data: aliran terkait.
string- Jenis data: string terkait.
write- Menulis ke kunci (nilai atau metadata).
Perintah
Perintah memungkinkan Anda mengontrol perintah tertentu mana yang dapat dijalankan oleh pengguna Redis tertentu.
- Gunakan
+commanduntuk mengizinkan perintah. - Gunakan
-commanduntuk melarang perintah.
Kunci
Kunci memungkinkan Anda mengontrol akses ke kunci atau grup kunci tertentu yang disimpan di cache.
Gunakan
~<pattern>untuk menyediakan pola untuk kunci.Gunakan atau
~*allkeysuntuk menunjukkan bahwa izin kategori perintah berlaku untuk semua kunci dalam instans cache.
Cara menentukan izin
Untuk menentukan izin, Anda perlu membuat string untuk disimpan sebagai kebijakan akses kustom Anda, lalu menetapkan string ke pengguna Azure Cache for Redis Anda.
Daftar berikut berisi beberapa contoh string izin untuk berbagai skenario.
Perbolehkan aplikasi menjalankan semua perintah pada semua kunci
String izin:
+@all allkeysPerbolehkan aplikasi menjalankan perintah baca saja
String izin:
+@read ~*Izinkan aplikasi untuk menjalankan kategori perintah baca dan mengatur perintah pada kunci dengan awalan
Az.String izin:
+@read +set ~Az*
Mengonfigurasi kebijakan akses data kustom untuk aplikasi Anda
Di portal Azure, pilih instans Azure Cache for Redis tempat Anda ingin mengonfigurasi autentikasi berbasis token Microsoft Entra.
Dari menu Sumber Daya, pilih Konfigurasi Akses Data.
Pilih Tambahkan dan pilih Kebijakan Akses Baru.
Berikan nama untuk kebijakan akses Anda.
Konfigurasikan Izin sesuai kebutuhan Anda.
Untuk menambahkan pengguna ke kebijakan akses menggunakan ID Microsoft Entra, Anda harus terlebih dahulu mengaktifkan ID Microsoft Entra dengan memilih Autentikasi dari menu Sumber Daya.
Pilih Aktifkan Autentikasi Microsoft Entra sebagai tab di panel kerja.
Jika belum dicentang, centang kotak berlabel Aktifkan Autentikasi Microsoft Entra dan pilih OK. Lalu, pilih Simpan.
Kotak dialog popup menampilkan menanyakan apakah Anda ingin memperbarui konfigurasi, dan memberi tahu Anda bahwa diperlukan waktu beberapa menit. Pilih Ya.
Penting
Setelah operasi pengaktifan selesai, simpul di instans cache Anda memulai ulang untuk memuat konfigurasi baru. Sebaiknya lakukan operasi ini selama jendela pemeliharaan Anda atau di luar jam sibuk Anda. Operasi ini dapat memakan waktu hingga 30 menit.
Mengonfigurasi klien Redis Anda untuk menggunakan ID Microsoft Entra
Sekarang setelah Anda mengonfigurasi kebijakan akses Pengguna dan Data Redis untuk mengonfigurasi kontrol akses berbasis peran, Anda perlu memperbarui alur kerja klien Anda untuk mendukung autentikasi menggunakan pengguna/kata sandi tertentu. Untuk mempelajari cara mengonfigurasi aplikasi klien Anda untuk menyambungkan ke instans cache Anda sebagai Pengguna Redis tertentu, lihat Mengonfigurasi klien Redis Anda untuk menggunakan ID Microsoft Entra.
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk