Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Cache di Azure per Redis ha annunciato la sequenza temporale di ritiro per tutti gli SKU. È consigliabile spostare le istanze di Cache Redis di Azure esistenti in Azure Managed Redis non appena è possibile.
Per altre informazioni sul ritiro:
La gestione dell'accesso all'istanza di Cache Redis di Azure è fondamentale per garantire che gli utenti corretti abbiano accesso al set corretto di dati e comandi. Redis versione 6 ha introdotto l'elenco di controllo di accesso (ACL), che elenca le chiavi a cui gli utenti specifici possono accedere e i comandi che possono eseguire. Ad esempio, è possibile impedire a utenti specifici di usare il comando DEL per eliminare le chiavi nella cache.
Cache Redis di Azure integra questa funzionalità ACL con Microsoft Entra per consentire di configurare e assegnare criteri di accesso ai dati per gli utenti, l'entità servizio e l'identità gestita dell'applicazione. Cache Redis di Azure offre tre criteri di accesso predefiniti che è possibile assegnare tramite il controllo degli accessi in base al ruolo: Proprietario dei dati, Collaboratore dati e Lettore dati.
Se i criteri di accesso predefiniti non soddisfano i requisiti di protezione e isolamento dei dati, è possibile creare e usare criteri di accesso ai dati personalizzati. Questo articolo descrive la configurazione di un criterio di accesso ai dati personalizzato per Cache di Azure per Redis e l'abilitazione del controllo degli accessi in base al ruolo tramite autenticazione di Microsoft Entra.
Ambito della disponibilità
| Livello | Basico, Standard, Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Disponibilità | Sì | NO |
Limitazioni
- La configurazione dei criteri di accesso ai dati non è supportata nei livelli Enterprise e Enterprise Flash.
- Redis ACL e criteri di accesso ai dati non sono supportati nelle istanze di Azure Redis che eseguono Redis versione 4.
- L'autenticazione e l'autorizzazione di Microsoft Entra sono supportate solo per le connessioni SSL (Secure Socket Layer).
- Alcuni comandi redis sono bloccati in Cache Redis di Azure. Per altre informazioni, vedere Comandi di Redis non supportati in Cache Redis di Azure.
Autorizzazioni ACL Redis
Redis ACL nella versione 6.0 di Redis consente di configurare le autorizzazioni di accesso per tre aree: categorie di comandi, comandi e chiavi.
Categorie di comandi
Redis ha creato categorie di comandi, ad esempio comandi amministrativi e comandi pericolosi, per semplificare l'impostazione delle autorizzazioni per un gruppo di comandi. In una stringa di autorizzazioni usare +@<category> per consentire a una categoria di comandi o -@<category> di non consentire una categoria di comandi.
Redis supporta le categorie di comandi utili seguenti. Per altre informazioni e un elenco completo, vedere l'intestazione Categorie di comandi nella documentazione di ACL di Redis.
| Categoria | Descrizione |
|---|---|
admin |
Comandi amministrativi, ad esempio MONITOR e SHUTDOWN. Le applicazioni normali non devono mai usare questi comandi. |
dangerous |
Comandi potenzialmente pericolosi, tra cui FLUSHALL, RESTORESORT, , KEYS, CLIENTDEBUGINFO, , e CONFIG. Considera ognuno con cura, per vari motivi. |
keyspace |
Comprende DEL, RESTORE, DUMP, RENAME, EXISTS, DBSIZE, KEYS, EXPIRE, TTL e FLUSHALL. Scrittura o lettura da chiavi, database o relativi metadati in modo indipendente dai tipi. I comandi che leggono solo il keyspace, la chiave o i metadati hanno la read categoria . I comandi che possono modificare il keyspace, la chiave o i metadati hanno anche la write categoria . |
pubsub |
Comandi correlati a PubSub. |
read |
Lettura da chiavi, valori o metadati. I comandi che non interagiscono con le chiavi non hanno read o write. |
set |
Tipo di dati: set correlati. |
sortedset |
Tipo di dati: set ordinati correlati. |
stream |
Tipo di dati: flussi correlati. |
string |
Tipo di dati: stringhe correlate. |
write |
Scrittura di valori o metadati nelle chiavi. |
Annotazioni
I comandi bloccati per Azure Redis rimangono bloccati all'interno delle categorie.
Comandi
I comandi consentono di controllare quali comandi specifici possono essere eseguiti da un utente Redis specifico. In una stringa di autorizzazioni usare +<command> per consentire un comando o -<command> di non consentire un comando.
Chiavi
Le chiavi consentono di controllare l'accesso a chiavi o gruppi specifici di chiavi archiviate nella cache. Usare ~<pattern> in una stringa di autorizzazione per fornire un modello per le chiavi. Usare ~* o allkeys per indicare che le autorizzazioni si applicano a tutte le chiavi nella cache.
Configurare un criterio di accesso ai dati personalizzato per l'applicazione
Per configurare un criterio di accesso ai dati personalizzato, creare una stringa di autorizzazioni da usare come criterio di accesso personalizzato e abilitare l'autenticazione di Microsoft Entra per la cache.
Specificare le autorizzazioni
Configurare le stringhe di autorizzazione in base ai requisiti. Gli esempi seguenti illustrano le stringhe di autorizzazione per vari scenari:
| Stringa di autorizzazioni | Descrizione |
|---|---|
+@all allkeys |
Consentire all'applicazione di eseguire tutti i comandi in tutte le chiavi. |
+@read ~* |
Consenti all'applicazione di eseguire solo read la categoria di comandi. |
+@read +set ~Az* |
Consentire all'applicazione di eseguire read la categoria di comandi e impostare il comando sulle chiavi con prefisso Az. |
Creare i criteri di accesso ai dati personalizzati
Nel portale di Azure selezionare la cache Redis di Azure in cui si vuole creare i criteri di accesso ai dati.
Selezionare Configurazione accesso ai dati in Impostazioni nel menu di spostamento a sinistra.
Nella pagina Configurazione accesso ai dati selezionare Aggiungi>nuovi criteri di accesso.
Nella schermata Aggiungi/Modifica criteri di accesso personalizzati specificare un nome per i criteri di accesso.
In Autorizzazioni aggiungere la stringa di autorizzazioni personalizzata e quindi selezionare Applica.
I criteri personalizzati vengono ora visualizzati nella scheda Criteri di accesso della pagina Configurazione accesso ai dati , insieme ai tre criteri predefiniti di Azure Redis.
Abilitare l'autenticazione di Microsoft Entra
Per assegnare un utente a un criterio di accesso tramite Microsoft Entra, è necessario che nella cache sia abilitata l'autenticazione Microsoft Entra invece di quella con chiavi di accesso. Per controllare il metodo di autenticazione, selezionare Autenticazione in Impostazioni nel menu di spostamento a sinistra per la cache.
Nella schermata Autenticazione, se si seleziona Disabilita autenticazione tramite chiavi di accesso e non vengono visualizzate chiavi di accesso sullo schermo, la cache usa già l'autenticazione di Microsoft Entra. In caso contrario, selezionare la casella di controllo accanto a Disabilita autenticazione chiavi di accesso e quindi selezionare Salva.
Rispondere Sì alla finestra di dialogo popup che chiede se si vuole disabilitare l'autenticazione delle chiavi di accesso.
Importante
Al termine dell'operazione di abilitazione di Microsoft Entra, i nodi nell'istanza della cache vengono riavviati per caricare la nuova configurazione. L'operazione può richiedere fino a 30 minuti. È consigliabile eseguire questa operazione durante la finestra di manutenzione o al di fuori dell'orario lavorativo di punta.
Configurare il client Redis per l'uso di Microsoft Entra ID
La maggior parte dei client di Cache Redis di Azure presuppone che venga usata una password e una chiave di accesso per l'autenticazione. Potrebbe essere necessario aggiornare il flusso di lavoro client per supportare l'autenticazione e l'autorizzazione usando un nome utente e una password specifici di Microsoft Entra. Per informazioni su come configurare l'applicazione client per connettersi all'istanza della cache come utente Redis specifico, vedere Configurare il client Redis per l'uso dell'ID Microsoft Entra.