Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Управление доступом к экземпляру кэша Redis Azure крайне важно, чтобы гарантировать, что правильные пользователи имеют доступ к правильному набору данных и команд. Redis версии 6 представила список управления доступом (ACL), в котором перечислены ключи, к которым могут получить доступ определенные пользователи, и команды, которые они могут выполнять. Например, можно запретить определенным пользователям использовать команду DEL для удаления ключей в кэше.
Кэш Azure для Redis интегрирует эту функцию ACL с Microsoft Entra, чтобы позволить настраивать и назначать политики доступа к данным для пользователей вашего приложения, уполномоченной службы и управляемого удостоверения. Кэш Azure для Redis предлагает три встроенных политики доступа, которые можно назначать с помощью управления доступом на основе ролей (RBAC): владелец данных, участник данных и средство чтения данных.
Если встроенные политики доступа не удовлетворяют требованиям к защите и изоляции данных, можно создавать и использовать собственные пользовательские политики доступа к данным. В этой статье описывается настройка настраиваемой политики доступа к данным для кэша Azure для Redis и включение RBAC с помощью проверки подлинности Microsoft Entra.
Область доступности
| Уровень | "Базовый", "Стандартный" и "Премиум" | Энтерпрайз, Энтерпрайз Флэш |
|---|---|---|
| Доступность | Да | Нет |
Ограничения
- Настройка политик доступа к данным не поддерживается на уровнях Enterprise и Enterprise Flash.
- Политики ACL и доступа к данным не поддерживаются в экземплярах Azure Redis, использующих версию Redis 4.
- Проверка подлинности и авторизация Microsoft Entra поддерживаются только для подключений SSL.
- Некоторые команды Redis блокируются в кэше Azure для Redis. Дополнительные сведения см. в разделе о командах Redis, неподдерживаемых в кэше Redis для Azure.
Разрешения ACL Redis
ACL Redis в Redis версии 6.0 позволяет настраивать разрешения доступа для трех областей: категории команд, команды и ключи.
Категории команд
Redis создал категории команд, такие как административные команды и опасные команды, чтобы упростить настройку разрешений для группы команд. В строке разрешений используйте +@<category> для разрешения категории команд или -@<category> запретить категорию команд.
Redis поддерживает следующие полезные категории команд. Дополнительные сведения и полный список см. в заголовке категорий команд в документации по ACL Redis.
| Категория | Описание |
|---|---|
admin |
Административные команды, такие как MONITOR и SHUTDOWN. Обычные приложения никогда не должны использовать эти команды. |
dangerous |
Потенциально опасные команды, включая FLUSHALL, RESTORE, SORTKEYS, , CLIENT, DEBUGи INFO.CONFIG Рассмотрите каждый из них с осторожностью, по разным причинам. |
keyspace |
Включает DEL, RESTORE, DUMP, RENAME, EXISTS, DBSIZE, KEYS, EXPIRE, TTL, и FLUSHALL. Запись или чтение из ключей, баз данных или их метаданных способом, не зависящим от типа. Команды, которые считывают только ключевое пространство, ключ или метаданные, имеют категорию read. Команды, которые могут изменять пространство ключей, ключ или метаданные, также имеют категорию write . |
pubsub |
Команды, связанные с PubSub. |
read |
Чтение ключей, значений или метаданных. Команды, которые не взаимодействуют с ключами, не имеют ни read, ни write. |
set |
Тип данных: наборы, связанные. |
sortedset |
Тип данных: отсортированные наборы, связанные. |
stream |
Тип данных: связанные потоки. |
string |
Тип данных: строки, связанные. |
write |
Запись значений или метаданных в ключи. |
Замечание
Команды, заблокированные для Redis Azure, остаются заблокированными в категориях.
Команды
Команды позволяют управлять определенными командами определенного пользователя Redis. В строке разрешений используйте +<command> для разрешения команды или -<command> запрета команды.
Ключи
Ключи позволяют управлять доступом к определенным ключам или группам ключей, хранящихся в кэше. Используйте ~<pattern> в строке разрешения для предоставления шаблона ключей. Используйте ~* или allkeys, чтобы указать, что разрешения применяются ко всем ключам в кэше.
Настройка настраиваемой политики доступа к данным для приложения
Чтобы настроить настраиваемую политику доступа к данным, создайте строку разрешений для использования в качестве пользовательской политики доступа и включите проверку подлинности Microsoft Entra для кэша.
Указание разрешений
Настройте строки разрешений в соответствии с вашими требованиями. В следующих примерах показаны строки разрешений для различных сценариев:
| Строка разрешений | Описание |
|---|---|
+@all allkeys |
Разрешить приложению выполнять все команды на всех ключах. |
+@read ~* |
Разрешить приложению выполнять только read категорию команд. |
+@read +set ~Az* |
Разрешить приложению выполнять read категорию команд и задавать команду для ключей с префиксом Az. |
Создание настраиваемой политики доступа к данным
На портале Azure выберите кэш Redis Azure, в котором вы хотите создать политику доступа к данным.
Выберите конфигурацию доступа к данным в разделе "Параметры" в меню навигации слева.
На странице "Конфигурация доступа к данным" выберите "Добавить>новую политику доступа".
На экране добавления и изменения настраиваемой политики доступа укажите имя политики доступа.
В разделе "Разрешения" добавьте строку настраиваемых разрешений и нажмите кнопку "Применить".
Теперь настраиваемая политика отображается на вкладке "Политики доступа " на странице "Конфигурация доступа к данным " вместе с тремя встроенными политиками Redis Azure.
Включение проверки подлинности Microsoft Entra
Чтобы назначить пользователя политике доступа с помощью Microsoft Entra, необходимо включить проверку подлинности Microsoft Entra, а не проверку подлинности ключей доступа в кэше. Чтобы проверить метод проверки подлинности, выберите " Проверка подлинности" в разделе "Параметры " в меню навигации слева для кэша.
Если на экране проверки подлинности выбран параметр "Отключить проверку подлинности ключей доступа" , а ключи доступа на экране не отображаются, кэш уже использует проверку подлинности Microsoft Entra. В противном случае установите флажок рядом с отключением проверки подлинности ключей доступа и нажмите кнопку "Сохранить".
Ответьте "Да" во всплывающем окне с просьбой отключить проверку подлинности ключей доступа.
Внимание
После завершения операции включения Microsoft Entra узлы в вашем экземпляре кэша перезагружаются, чтобы загрузить новую конфигурацию. Операция может занять до 30 минут. Лучше всего выполнять эту операцию во время периода обслуживания или за пределами рабочих часов.
Настройка клиента Redis для использования идентификатора Microsoft Entra
Большинство клиентов Кэша Azure для Redis предполагают, что для проверки подлинности используется пароль и ключ доступа. Возможно, потребуется обновить рабочий процесс клиента для поддержки проверки подлинности и авторизации с помощью определенного имени пользователя и пароля Microsoft Entra. Сведения о настройке клиентского приложения для подключения к экземпляру кэша в качестве конкретного пользователя Redis см. в статье Настройка клиента Redis для использования идентификатора Microsoft Entra.