Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Azure Cache for Redis kündigte den Zeitrahmen für die Einstellung aller SKUs an. Es wird empfohlen, Ihren vorhandenen Azure-Cache für Redis-Instanzen in Azure Managed Redis zu verschieben, sobald Möglich.
Migrationsleitfaden:
- Migrieren der Stufen "Basic", "Standard" und "Premium" zu Azure Managed Redis
- Migrieren der Enterprise-Ebene zu Azure Managed Redis
Weitere Informationen zur Einstellung finden Sie unter:
Die Verwaltung des Zugriffs auf Ihre Azure Redis-Cache-Instanz ist entscheidend, um sicherzustellen, dass die richtigen Benutzer auf die entsprechenden Daten und Befehle zugreifen können. Redis, Version 6, hat die Access Control List (ACL) eingeführt, die die Tasten auflistet, die bestimmte Benutzer access können, und die Befehle, die sie ausführen können. Sie können beispielsweise verhindern, dass bestimmte Benutzer den DEL-Befehl zum Löschen von Schlüsseln im Cache verwenden.
Azure Cache for Redis integriert diese ACL-Funktionalität in Microsoft Entra, damit Sie Datenzugriffsrichtlinien für die Benutzer, den Dienstprinzipal und die verwaltete Identität Ihrer Anwendung konfigurieren und zuweisen können. Azure Cache for Redis bietet drei integrierte access-Richtlinien, die Sie über rollenbasierte access control (RBAC) zuweisen können: Data Owner, Data Contributor und Data Reader.
Wenn die vordefinierten Zugriffsrichtlinien Ihre Datenschutz- und Isolationsanforderungen nicht erfüllen, können Sie eigene benutzerdefinierte Zugriffsschutzrichtlinien erstellen und verwenden. In diesem Artikel wird beschrieben, wie Sie eine benutzerdefinierte Datenzugriffsrichtlinie für Azure Cache for Redis konfigurieren und RBAC über die Microsoft Entra-Authentifizierung aktivieren.
Umfang der Verfügbarkeit
| Dienstebene | Basic, Standard und Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Verfügbarkeit | Ja | Nein |
Einschränkungen
- Das Konfigurieren von Datenzugriffs-Richtlinien wird auf den Enterprise- und Enterprise Flash-Stufen nicht unterstützt.
- Redis ACL- und Datenzugriffsrichtlinien werden auf Azure Redis-Instanzen, die Redis Version 4 ausführen, nicht unterstützt.
- Microsoft Entra-Authentifizierung und Autorisierung werden nur für SSL-Verbindungen (Secure Socket Layer) unterstützt.
- Einige Redis-Befehle werden in Azure Cache for Redis blockiert. Weitere Informationen finden Sie unter
Redis-Befehle, die in Azure Cache for Redis .
Redis ACL-Berechtigungen
Redis ACL in Redis, Version 6.0, ermöglicht das Konfigurieren von access Berechtigungen für drei Bereiche: Befehlskategorien, Befehle und Tasten.
Befehlskategorien
Redis hat Befehlskategorien wie administrative Befehle und gefährliche Befehle erstellt, um das Festlegen von Berechtigungen für eine Gruppe von Befehlen zu vereinfachen. Verwenden Sie +@<category> in einer Berechtigungszeichenfolge, um eine Befehlskategorie zuzulassen oder -@<category> eine Befehlskategorie zu verbieten.
Redis unterstützt die folgenden nützlichen Befehlskategorien. Weitere Informationen und eine vollständige Liste finden Sie in der Redis ACL-Dokumentation in der Überschrift "Befehlskategorien".
| Kategorie | BESCHREIBUNG |
|---|---|
admin |
Administrative Befehle, wie MONITOR und SHUTDOWN. Normale Anwendungen müssen diese Befehle niemals verwenden. |
dangerous |
Potenziell gefährliche Befehle, einschließlich FLUSHALL, , RESTORESORT, KEYS, CLIENT, , DEBUG, und INFOCONFIG. Berücksichtigen Sie jede mit Sorgfalt aus verschiedenen Gründen. |
keyspace |
Enthält DEL, , RESTORE, DUMP, RENAMEEXISTS, DBSIZE, KEYS, , EXPIREund TTLFLUSHALL. Schreiben oder Lesen aus Schlüsseln, Datenbanken oder deren Metadaten auf typunabhängige Weise. Befehle, die nur den Keyspace, Schlüssel oder Metadaten lesen, gehören zur Kategorie read. Befehle, die den Schlüsselraum, Schlüssel oder Metadaten ändern können, gehören ebenfalls zur write Kategorie. |
pubsub |
PubSub-bezogene Befehle. |
read |
Lesen aus Schlüsseln, Werten oder Metadaten. Befehle, die nicht mit Tasten interagieren, haben entweder read oder write nicht. |
set |
Datentyp: verwandte Mengen. |
sortedset |
Datentyp: verwandte sortierte Mengen. |
stream |
Datentyp: verwandte Datenströme. |
string |
Datentyp: verwandte Zeichenfolgen. |
write |
Schreiben von Werten oder Metadaten in Schlüssel. |
Hinweis
Befehle, die blocked für Azure Redis sind, bleiben in den Kategorien blockiert.
Befehle
Mit Befehlen können Sie steuern, welche bestimmten Befehle ein bestimmter Redis-Benutzer ausführen kann. Verwenden Sie +<command> in einer Berechtigungszeichenfolge, um einen Befehl zuzulassen oder -<command> einen Befehl zu verbieten.
Schlüssel
Mit Keys erlauben Sie den Zugriff auf bestimmte Schlüssel oder Schlüsselgruppen, die im Cache gespeichert sind. Verwenden Sie ~<pattern> in einer Berechtigungszeichenfolge, um ein Muster für Schlüssel bereitzustellen. Verwenden Sie entweder ~* oder allkeys geben Sie an, dass die Berechtigungen für alle Schlüssel im Cache gelten.
Konfigurieren Sie eine benutzerdefinierte Datenzugriffsrichtlinie für Ihre Anwendung
Um eine benutzerdefinierte Datenzugriffsrichtlinie zu konfigurieren, erstellen Sie eine Berechtigungszeichenfolge, mit der Sie Ihre benutzerdefinierte Zugriffsrichtlinie definieren, und aktivieren Sie die Microsoft Entra-Authentifizierung für Ihren Cache.
Berechtigungen angeben
Konfigurieren Sie Berechtigungszeichenfolgen gemäß Ihren Anforderungen. Die folgenden Beispiele zeigen Berechtigungszeichenfolgen für verschiedene Szenarien:
| Berechtigungszeichenfolge | BESCHREIBUNG |
|---|---|
+@all allkeys |
Zulassen, dass die Anwendung alle Befehle auf allen Tasten ausführt. |
+@read ~* |
Zulassen, dass die Anwendung nur read Befehlskategorie ausführt. |
+@read +set ~Az* |
Erlauben, dass die Anwendung die Befehlskategorie read ausführt und den Befehl auf Tasten mit dem Präfix Az festlegt. |
Erstellen Sie die benutzerdefinierte Datenzugriffsrichtlinie
Wählen Sie im Azure-Portal den Azure Redis-Cache aus, in dem Sie die Datenzugriffsrichtlinie erstellen möchten.
Wählen Sie Datenzugriffskonfiguration unter Einstellungen im linken Navigationsmenü aus.
Wählen Sie auf der Seite DatenzugriffskonfigurationHinzufügen>Neue Zugriffsrichtlinie aus.
Geben Sie auf dem Bildschirm Add/Edit a custom access policy einen Namen für Ihre Zugriffsrichtlinie an.
Fügen Sie unter Berechtigungen Ihre benutzerdefinierte Berechtigungszeichenfolge hinzu, und wählen Sie dann Übernehmen aus.
Die benutzerdefinierte Richtlinie wird jetzt auf der Registerkarte Access Policies der Registerkarte Data Access Configuration zusammen mit den drei integrierten Azure Redis-Richtlinien angezeigt.
Microsoft Entra-Authentifizierung aktivieren
Um einen Benutzer einer Access Policy mithilfe von Microsoft Entra zuzuweisen, müssen Sie Microsoft Entra anstelle von Access Keys-Authentifizierung in Ihrem Cache aktiviert haben. Um Ihre Authentifizierungsmethode zu überprüfen, wählen Sie unter "Einstellungen" im linken Navigationsmenü für Den Cache die Option "Authentifizierung" aus.
Auf dem Bildschirm Authentication, wenn Disable Access Keys Authentication ausgewählt ist und keine Zugriffsschlüssel auf dem Bildschirm erscheinen, verwendet Ihr Cache bereits die Microsoft Entra-Authentifizierung. Aktivieren Sie andernfalls das Kontrollkästchen neben Disable Access Keys Authentication und wählen Sie dann Speichern aus.
Antworten Sie Ja auf das Popup-Dialogfeld, in dem Sie gefragt werden, ob Sie die Zugriffsschlüssel-Authentifizierung deaktivieren möchten.
Wichtig
Sobald der Microsoft Entra-Aktivierungsvorgang abgeschlossen ist, starten die Knoten in Ihrer Cacheinstanz neu, um die neue Konfiguration zu laden. Dieser Vorgang kann bis zu 30 Minuten in Anspruch nehmen. Es ist am besten, diesen Vorgang während Ihres Wartungsfensters oder außerhalb der Spitzenzeiten auszuführen.
Konfigurieren des Redis-Clients für die Verwendung von Microsoft Entra ID
Die meisten Azure Cache for Redis Clients gehen davon aus, dass ein Kennwort und access Schlüssel für die Authentifizierung verwendet werden. Möglicherweise müssen Sie Ihren Clientworkflow aktualisieren, um die Authentifizierung und Autorisierung mithilfe eines bestimmten Microsoft Entra-Benutzernamens und Kennworts zu unterstützen. Informationen zum Konfigurieren Ihrer Clientanwendung für die Verbindung mit Ihrer Cacheinstanz als bestimmter Redis-Benutzer finden Sie unter Configure your Redis client to use Microsoft Entra ID.