OCIキャッシュ・ユーザーACL文字列
OCIキャッシュ・ユーザーを構成するためのアクセス制御リスト(ACL)文字列について学習します。
キャッシュ・ユーザーの作成時に指定したACL文字列は、ユーザー権限を付与または取り消す事前定義済ルールのリストであり、キャッシュ・ユーザーが実行できる操作を決定します。通常、形式はキーワードuserで始まり、その後にユーザー名、次にACLルールが続きます。各ACLルールは、コマンド、キー・パターン、Pub/Subチャネルおよび認証要件に対する権限を指定します。
次の表に、ACLコマンドの一部のオプションを示します。
| ACLコマンドの例 | |
|---|---|
| コマンド | 摘要 |
| 認証 | |
on |
ユーザー・ステータスはアクティブであり、認証できます。 |
nopass |
ユーザーはパスワードを必要としません。 |
>mypassword123 |
ユーザーは、パスワードmypassword123を使用して認証する必要があります。 |
#hashedPassword |
ユーザーは、パスワードplainPassword(hashedPasswordはplainPasswordのsha-256コンバータ)を使用して認証する必要があります。 |
| キー・アクセス | |
allkeys |
ユーザーは、すべてのキーにアクセスできます(ワイルドカード*で表されます)。 |
allkeys +get +set |
ユーザーは、すべてのキーを取得して設定できます。 |
|
ユーザーは、キーを設定せずにすべてのキーを取得できます。 |
allkeys -get -set |
ユーザーは、キーを取得したり設定したりできません。 |
~service1:* |
ユーザーは、接頭辞service1:で始まるキーにのみアクセスできます。 |
| パブ/サブ・アクセス | |
allchannels |
ユーザーは、すべての公開/サブ・チャネルにアクセスできます。 |
&service1:* |
ユーザーは、接頭辞service1:で始まるPub/Subチャネルにのみアクセスできます。 |
| コマンド・アクセス | |
allcommands |
ユーザーは、すべてのコマンドを実行できます。 |
+@write |
ユーザーは、すべての書込みコマンドを実行できます。 |
-@read |
ユーザーはすべての読み取りコマンドを拒否されます。 |
+@read +@write |
ユーザーは、読取り操作(GET、HGETなど)および書込み操作(SET、HSETなど)を実行できます。 |
-@write -@read |
ユーザーは、すべての読取り操作およびすべての書込み操作から制限されます。 |
+@read -keys |
ユーザーは読取り操作(GET、HGETなど)を実行できますが、keysコマンドからは制限されます。 |
+command|info |
ユーザーは、使用可能なコマンドに関する情報または詳細をフェッチできます。 |
OCI Cacheは、マネージド・サービスとして、システムの安定性を確保し、キャッシュ・クラスタに対する意図しない変更を防ぐために、一部のコマンドを制限します。キャッシュ・ユーザーの作成または更新時に、これらの制限されたコマンドをACL文字列に含めることはできません。次に、制限付きアクセス・ユーザー構成の例を示します。
user service1 on >mypassword123 ~service1:* &service1:* +@write -@readuser service1 on #hashedPassword ~service1:* &service1:* +@write -@read
ACL文字列にはユーザーの@allが含まれる場合がありますが、OCIキャッシュでは次のコマンドが暗黙的に制限されます。
| OCIキャッシュ制限ACLコマンド | ||
|---|---|---|
acl|cat |
cluster|flushslots |
memory|malloc-stats |
acl|deluser |
cluster|forget |
memory|purge |
acl|dryrun |
cluster|meet |
memory|stats |
acl|genpass |
cluster|replicate |
memory|usage |
acl|getuser |
cluster|reset |
cmigrate |
acl|help |
cluster|saveconfig |
module |
acl|list |
cluster|set-config-epoch |
module|help |
acl|load |
cluster|setslot |
module|list |
acl|log |
config|rewrite |
module|load |
acl|save |
config|set |
module|loadex |
acl|setuser |
failover |
module|unload |
acl|users |
memory |
psync |
cluster|addslots |
memory|doctor |
replicaof |
cluster|addslotsrange |
memory|help |
shutdown |
cluster|bumpepoch |
memory|malloc-stats |
slaveof |
cluster|delslots |
memory|purge |
sync |
cluster|delslotsrange |
memory|stats |
|
cluster|failover |
memory|usage |
|