[Redis] 자세히 알아보기! (8) - ACL

ACL

Access Control List의 줄임말로 redis 6부터 도입된 기능입니다.

 

다른 RDBMS(MySQL, Oracle 등)에는 유저별로 접근 가능한 범위를 정할 수 있지만

redis에는 유저라는 개념이 없었습니다.

 

ACL은 유저를 설정하고 실행 가능한 커맨드와 접근할 수 있는 키 측면에서 특정 연결을 가능하게 해줍니다.

 

# 1
ACL SETUSER alice on >p1pp0 ~cached:* +get

# 2
AUTH alice p1pp0

• #1 : alice 라는 user를 생성한다.
  • 이름 
  • 패스워드 : p1pp0
  • 접근 가능한 키 패턴 : cached 로 시작하는 key들에 접근할 수 있다. (allkeys : 모든 키에 접근 가능)
  • 실행 가능한 커맨드 : 접근할 때는 get 만 사용할 수 있다. (allcommands : 모든 명령어 사용 가능)
• #2 : alice 계정으로 redis를 사용하도록 한다.

비밀번호만 설정한다는 것은 "default" user를 사용한다는 의미입니다.

ACL feature를 사용하여 user를 생성하고, user가 접근할 수 있는 key와 command를 지정해놓는다면, redis를 조금 더 안전하게 사용할 수 있을 것입니다.

 

사용자 등록

> ACL SETUSER user on/off >password keys commands

• user: user-id를 설정한다.
• on/off: 사용 여부를 정한다. on이면 사용 가능하고, off이면 사용할 수 없다.
  
  • Off는 사용자는 등록하지만 일단 사용하지 못하게 할 경우 또는 기존 사용자를 사용하지 못하게 할 경우 사용한다.
  • 이 경우 새로 로그인(auth)은 할 수 없지만, 이미 로그인한 사용자의 사용을 막지는 못한다.
• >password: '>' 구분자 다음에 지정한다. 자유롭게 지정할 수 있다.
  
  • 패스워드 없이 사용하려면 nopass를 지정한다. 로그인 시 어떤 문자열이든 입력해도 된다.
  • 패스워드를 지정했을 경우: auth user password 로 로그인
• keys:
  • 모든 키 : allkeys 또는 ~*
  • 특정 패턴 : 예) ~user*, ~key* 이렇게 지정하면 user 또는 key로 시작하는 키에 대해서만 사용할 수 있다.
    
  • 키 X : Resetkeys
  • 키 패턴을 지정하면 매 명령마다 비교하므로 성능이 떨어질 수 있다. 성능이 우선일 경우 사용에 주의
• commands:
  • 모든 명령 : allcommands 또는 +@all
    
  • 명령 X : Nocommands 또는 -@all
  • 명령은 그룹 또는 명령으로 추가 또는 뺄 수 있다.
    • 명령 그룹 : +@group/-@group, 명령 : +command/-command

 

사용자 조회

ACL GETUSER user

 

사용자 삭제

ACL DELUSER user

 

본인 확인

ACL WHOAMI

 

사용자 리스트 조회

ACL USERS

 

사용자 정보 리스트 조회

ACL LIST

 

사용자 정보 저장

ACL SAVE

 

사용자 정보 로드

ACL LOAD

 

명령 그룹 조회

127.0.0.1:6379> ACL CAT
1) "keyspace"
2) "read"
3) "write"
4) "set"
5) "sortedset"
6) "list"
7) "hash"
8) "string"
9) "bitmap"
10) "hyperloglog"
11) "geo"
12) "stream"
13) "pubsub"
14) "admin"
15) "fast"
16) "slow"
17) "blocking"
18) "dangerous"
19) "connection"
20) "transaction"
21) "scripting"

• keyspace: del, expire, flushdb, keys, ttl, scan 등
• read: get, lrange, smembers, zrange, hget, xrange 등
• write: set, lpush, sadd, zadd, hset, xadd 등
• set: sadd, scard, srem, spop 등
• sortedset: zadd, zcard, srem, zpopmin 등
• list: lpush, llen, lrem, lpop 등
• hash: hset, hlen, ldel, hget 등
• string: set, get, incr 등
• bitmap: setbit, bitop, getbit 등
• hyperloglog: pfadd, pfmerge, pfcount, pfselftest
• geo: geoadd, geodist, georadius 등
• stream: xadd, xlen, xrange, xdel 등
• pubsub: publish, subscribe, pubsub 등
• admin: bgsave, config, debug, shutdown 등
  Admin 명령은 dangerous 그룹에 포함된다.
• fast: get, lpush, hget 등
• slow: lrem, mset, save 등
• blocking: blpop, brpop, brpoplpush, bzpopmin, bzpopmax, xread, xreadgroup
• dangerous: flushdb, keys, shutdown, info, client 등
• connection: hello, client, auth, echo, ping, command
• transaction: watch, multi, unwatch, discard, exec
• scripting: evalsha, eval, script

각 명령이 어느 그룹에 속하는지는 "command info 명령"을 사용해서 확인할 수 있다.

예를 들면, SET 명령은 write, string, slow이고, GET 명령은 read, string, fast이다.

 

패스워드 생성

ACL GENPASS [<bits>]

• 디폴트로 64바이트 문자열로 패스워드를 생성한다.
• 암호화 알고리즘으로 SHA-256을 사용한다.

 

ACL(Auth) 로그

ACL LOG [<count> | RESET]

---

✅ 공식문서

https://redis.io/topics/acl

 

목차

• ACL이 유용한 경우
• ACL 명령으로 ACL 구성
• ACL 규칙
• ACL SETUSER 명령으로 사용자 ACL 생성 및 편집
• ACL SETUSER에 대한 다중 호출
• 명령어 카테고리
• 하위 명령 허용/차단
• 차단된 명령의 첫 번째 인수 허용
• +@a,ll VS -@all
• 선택자
• 주요 권한
• 암호가 내부적으로 저장되는 방식
• 외부 ACL 파일 사용
• 센티널 및 리플리카에 대한 ACL 규칙

 

 

 

 

 

 

참고

http://redisgate.kr/redis/server/acl.php

https://sungbin.dev/post/Redis%20%ED%95%B4%ED%82%B9%EB%8B%B9%ED%95%9C%20%EC%9D%B4%EC%95%BC%EA%B8%B0