ACL-Zeichenfolgen für OCI-Cachebenutzer
Erfahren Sie mehr über Access-Control-Listen-(ACL-)Zeichenfolgen, um OCI-Cachebenutzer zu konfigurieren.
Die ACL-Zeichenfolge, die Sie beim Erstellen des Cachebenutzers angegeben haben, ist eine Liste vordefinierter Regeln, die Benutzerberechtigungen erteilen oder entziehen und festlegen, welche Vorgänge ein Cachebenutzer ausführen kann. Das Format beginnt normalerweise mit dem Schlüsselwort user, gefolgt vom Benutzernamen und dann den ACL-Regeln. Jede ACL-Regel gibt Berechtigungen für Befehle, Schlüsselmuster, Pub-/Sub-Kanäle und Authentifizierungsanforderungen an.
In der folgenden Tabelle sind einige Optionen in den ACL-Befehlen aufgeführt:
| Beispiel-ACL-Befehle | |
|---|---|
| Befehl | Beschreibung |
| Authentifizierung | |
on |
Der Benutzerstatus ist "Aktiv" und kann sich authentifizieren. |
nopass |
Der Benutzer benötigt kein Kennwort. |
>mypassword123 |
Der Benutzer muss sich mit dem Kennwort mypassword123 authentifizieren. |
#hashedPassword |
Der Benutzer muss sich mit dem Kennwort plainPassword authentifizieren (wobei hashedPassword sha-256-Konverter von plainPassword ist). |
| Schlüsselzugriff | |
allkeys |
Der Benutzer hat Zugriff auf alle Schlüssel (dargestellt durch den Platzhalter *). |
allkeys +get +set |
Der Benutzer kann alle Schlüssel abrufen und festlegen. |
|
Der Benutzer kann alle Schlüssel abrufen, ohne sie festzulegen. |
allkeys -get -set |
Der Benutzer kann die Schlüssel weder abrufen noch einstellen. |
~service1:* |
Der Benutzer hat nur Zugriff auf Schlüssel, die mit dem Präfix service1: beginnen. |
| Pub/Sub-Zugriff | |
allchannels |
Der Benutzer hat Zugriff auf alle Pub/Sub-Kanäle. |
&service1:* |
Der Benutzer hat nur Zugriff auf Pub/Sub-Kanäle, die mit dem Präfix service1: beginnen. |
| Befehlszugriff | |
allcommands |
Der Benutzer kann alle Befehle ausführen. |
+@write |
Der Benutzer kann alle Schreibbefehle ausführen. |
-@read |
Dem Benutzer werden alle Lesebefehle verweigert. |
+@read +@write |
Der Benutzer kann Lesevorgänge (wie GET, HGET) und Schreibvorgänge (wie SET, HSET) ausführen. |
-@write -@read |
Der Benutzer ist auf alle Lese- und Schreibvorgänge beschränkt. |
+@read -keys |
Der Benutzer kann Lesevorgänge (wie GET, HGET) ausführen, ist jedoch vom Befehl keys eingeschränkt. |
+command|info |
Der Benutzer kann Informationen oder Details zu verfügbaren Befehlen abrufen. |
OCI Cache als verwalteter Service schränkt einige Befehle ein, um die Systemstabilität sicherzustellen und unbeabsichtigte Änderungen am Cache-Cluster zu verhindern. Sie können diese eingeschränkten Befehle nicht in die ACL-Zeichenfolge aufnehmen, wenn Sie einen Cachebenutzer erstellen oder aktualisieren. Im Folgenden finden Sie Beispiele für die Konfiguration von Benutzern mit eingeschränktem Zugriff:
user service1 on >mypassword123 ~service1:* &service1:* +@write -@readuser service1 on #hashedPassword ~service1:* &service1:* +@write -@read
Obwohl die ACL-Zeichenfolge @all für einen Benutzer enthalten kann, schränkt OCI Cache die folgenden Befehle implizit ein:
| Eingeschränkte ACL-Befehle für OCI-Cache | ||
|---|---|---|
acl|cat |
cluster|flushslots |
memory|malloc-stats |
acl|deluser |
cluster|forget |
memory|purge |
acl|dryrun |
cluster|meet |
memory|stats |
acl|genpass |
cluster|replicate |
memory|usage |
acl|getuser |
cluster|reset |
cmigrate |
acl|help |
cluster|saveconfig |
module |
acl|list |
cluster|set-config-epoch |
module|help |
acl|load |
cluster|setslot |
module|list |
acl|log |
config|rewrite |
module|load |
acl|save |
config|set |
module|loadex |
acl|setuser |
failover |
module|unload |
acl|users |
memory |
psync |
cluster|addslots |
memory|doctor |
replicaof |
cluster|addslotsrange |
memory|help |
shutdown |
cluster|bumpepoch |
memory|malloc-stats |
slaveof |
cluster|delslots |
memory|purge |
sync |
cluster|delslotsrange |
memory|stats |
|
cluster|failover |
memory|usage |
|