Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O Cache do Azure para Redis anunciou a linha do tempo de desativação para todos os SKUs. Recomendamos migrar suas instâncias do Cache do Azure para Redis para o Redis Gerenciado pelo Azure assim que possível.
Para obter mais detalhes sobre a aposentadoria:
Gerenciar o acesso à instância de cache do Azure Redis é fundamental para garantir que os usuários certos tenham acesso ao conjunto certo de dados e comandos. O Redis versão 6 introduziu a ACL ( Lista de Controle de Acesso ), que lista as chaves que usuários específicos podem acessar e os comandos que podem ser executados. Por exemplo, você pode proibir usuários específicos de usar o comando DEL para excluir chaves no cache.
O Cache do Azure para Redis integra essa funcionalidade de ACL ao Microsoft Entra para permitir que você configure e atribua políticas de acesso a dados para os usuários do aplicativo, a entidade de serviço e a identidade gerenciada. O Cache do Azure para Redis oferece três políticas de acesso internas que você pode atribuir por meio do RBAC (controle de acesso baseado em função): Proprietário de dados, Colaborador de Dados e Leitor de Dados.
Se as políticas de acesso internas não atenderem aos requisitos de proteção e isolamento de dados, você poderá criar e usar suas próprias políticas de acesso a dados personalizadas. Este artigo descreve como configurar uma política de acesso a dados personalizada para o Cache do Azure para Redis e habilitar o RBAC por meio da autenticação do Microsoft Entra.
Escopo de disponibilidade
| Camada | Básico, Standard e Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Disponibilidade | Sim | Não |
Limitações
- Não há suporte para a configuração de políticas de acesso a dados nas camadas Enterprise e Enterprise Flash.
- Não há suporte para a ACL do Redis e políticas de acesso a dados em instâncias do Azure Redis que executam o Redis versão 4.
- A autenticação e a autorização do Microsoft Entra têm suporte apenas para conexões SSL (Secure Socket Layer).
- Alguns comandos Redis são bloqueados no Cache do Azure para Redis. Para obter mais informações, confira Comandos Redis não têm suporte no Cache Redis do Azure.
Permissões de ACL do Redis
O Redis ACL no Redis versão 6.0 permite configurar permissões de acesso para três áreas: categorias de comando, comandos e chaves.
Categorias de comando
O Redis criou categorias de comando, como comandos administrativos e comandos perigosos, para facilitar a configuração de permissões em um grupo de comandos. Em uma cadeia de caracteres de permissões, use +@<category> para permitir uma categoria de comando ou -@<category> para não permitir uma categoria de comando.
O Redis dá suporte às seguintes categorias de comando úteis. Para obter mais informações e uma lista completa, consulte o título Categorias de Comando na documentação da ACL do Redis.
| Categoria | Descrição |
|---|---|
admin |
Comandos administrativos, como MONITOR e SHUTDOWN. Aplicativos normais nunca precisam usar esses comandos. |
dangerous |
Comandos potencialmente perigosos, incluindo FLUSHALL, RESTORE, , SORTKEYS, , CLIENT, DEBUG, , INFOe CONFIG. Considere cada um com cuidado, por várias razões. |
keyspace |
Inclui DEL, RESTORE, DUMP, RENAME, , EXISTS, DBSIZE, KEYS, , EXPIRE, TTL, e FLUSHALL. Escrever ou ler chaves, bancos de dados ou seus metadados de maneira independente de tipo. Os comandos que leem apenas o keyspace, a chave ou os metadados têm a read categoria. Os comandos que podem modificar o keyspace, a chave ou os metadados também têm a write categoria. |
pubsub |
Comandos relacionados ao PubSub. |
read |
Leitura a partir de chaves, valores ou metadados. Os comandos que não interagem com chaves não têm nem read nem write. |
set |
Tipo de dados: conjuntos relacionados. |
sortedset |
Tipo de dados: conjuntos classificados relacionados. |
stream |
Tipo de dados: fluxos relacionados. |
string |
Tipo de dados: cadeias de caracteres relacionadas. |
write |
Gravando valores ou metadados em chaves. |
Observação
Os comandos bloqueados para o Azure Redis permanecem bloqueados nas categorias.
Comandos
Os comandos permitem controlar quais comandos específicos um usuário específico do Redis pode executar. Em uma cadeia de caracteres de permissões, use +<command> para permitir um comando ou -<command> para não permitir um comando.
Teclas
As chaves permitem controlar o acesso a chaves ou grupos específicos de chaves armazenadas no cache. Use ~<pattern> em uma cadeia de caracteres de permissão para fornecer um padrão para chaves. Use ~* ou allkeys para indicar que as permissões se aplicam a todas as chaves no cache.
Configurar uma política de acesso a dados personalizada para seu aplicativo
Para configurar uma política de acesso a dados personalizada, crie uma cadeia de caracteres de permissões para usar como sua política de acesso personalizada e habilite a autenticação do Microsoft Entra para seu cache.
Especificar permissões
Configure cadeias de caracteres de permissão de acordo com seus requisitos. Os exemplos a seguir mostram cadeias de caracteres de permissão para vários cenários:
| Cadeia de caracteres de permissões | Descrição |
|---|---|
+@all allkeys |
Permitir que o aplicativo execute todos os comandos em todas as chaves. |
+@read ~* |
Permitir que o aplicativo execute apenas read a categoria de comando. |
+@read +set ~Az* |
Permitir que o aplicativo execute a categoria de comando de read e defina o comando em chaves com o prefixoAz. |
Criar a política de acesso a dados personalizada
No portal do Azure, selecione o cache Redis do Azure em que você deseja criar a política de acesso a dados.
Selecione Configuração de Acesso a Dados em Configurações no menu de navegação à esquerda.
Na página Configuração de Acesso a Dados , selecione Adicionar>Nova Política de Acesso.
Na tela Adicionar/Editar uma política de acesso personalizada , forneça um nome para sua política de acesso.
Em Permissões, adicione a cadeia de caracteres de permissões personalizadas e selecione Aplicar.
A política personalizada agora aparece na guia Políticas de Acesso da página Configuração de Acesso a Dados , juntamente com as três políticas internas do Azure Redis.
Habilitar a autenticação do Microsoft Entra
Para atribuir um usuário a uma política de acesso usando o Microsoft Entra, você deve ter o Microsoft Entra em vez da autenticação de Chaves de Acesso habilitada em seu cache. Para verificar o método de autenticação, selecione Autenticação em Configurações no menu de navegação à esquerda do cache.
Na tela Autenticação, se Desabilitar Autenticação de Chaves de Acesso estiver selecionado e nenhuma chave de acesso aparecer na tela, o cache já usa a autenticação do Microsoft Entra. Caso contrário, marque a caixa de seleção ao lado de Desabilitar a Autenticação de Chaves de Acesso e, em seguida, selecione Salvar.
Responda Sim à caixa de diálogo pop-up perguntando se você deseja desabilitar a autenticação de chaves de acesso.
Importante
Depois que a operação de habilitação do Microsoft Entra for concluída, os nós na instância de cache serão reinicializados para carregar a nova configuração. Essa operação pode levar até 30 minutos. É melhor executar essa operação durante a janela de manutenção ou fora do horário comercial de pico.
Configurar seu cliente Redis para usar o Microsoft Entra ID
A maioria dos clientes do Cache do Azure para Redis pressupõe que uma senha e uma chave de acesso são usadas para autenticação. Talvez seja necessário atualizar o fluxo de trabalho do cliente para dar suporte à autenticação e autorização usando um nome de usuário e senha específicos do Microsoft Entra. Para saber como configurar seu aplicativo cliente para se conectar à instância de cache como um usuário específico do Redis, consulte Configurar seu cliente Redis para usar a ID do Microsoft Entra.