Spravovaná identita pro úložiště

  • Článek

Spravované identity jsou běžným nástrojem používaným v Azure, který vývojářům pomáhá minimalizovat zatížení správy tajných kódů a přihlašovacích údajů. Spravované identity jsou užitečné, když se služby Azure vzájemně propojují. Místo správy autorizace mezi jednotlivými službami je možné id Microsoft Entra použít k poskytnutí spravované identity, která proces ověřování zefektivňuje a zabezpečuje.

Použití spravované identity s účty úložiště

V současné době může Azure Cache for Redis používat spravovanou identitu pro připojení k účtu úložiště, která je užitečná ve dvou scénářích:

Spravovaná identita umožňuje zjednodušit proces bezpečného připojení ke zvolenému účtu úložiště pro tyto úlohy.

Azure Cache for Redis podporuje oba typy spravované identity:

  • Identita přiřazená systémem je specifická pro prostředek. V tomto případě je mezipamětí prostředek. Po odstranění mezipaměti se identita odstraní.

  • Identita přiřazená uživatelem je specifická pro uživatele, nikoli pro prostředek. Dá se přiřadit k libovolnému prostředku, který podporuje spravovanou identitu, a zůstane i v případě, že mezipaměť odstraníte.

Každý typ spravované identity má výhody, ale ve službě Azure Cache for Redis je funkce stejná.

Povolení spravované identity

Spravovanou identitu je možné povolit buď při vytváření instance mezipaměti, nebo po vytvoření mezipaměti. Při vytváření mezipaměti je možné přiřadit pouze identitu přiřazenou systémem. Do existující mezipaměti je možné přidat některý typ identity.

Rozsah dostupnosti

Úroveň Basic, Standard Premium Enterprise, Enterprise Flash
dostupný No Ano No

Předpoklady a omezení

Spravovaná identita pro úložiště se teď používá jenom s funkcí importu a exportu a trvalostí, která omezuje její použití na úroveň Premium služby Azure Cache for Redis.

Spravovaná identita pro úložiště se nepodporuje u mezipamětí, které jsou závislé na cloudových službách (Classic). Další informace o tom, jak zkontrolovat, jestli mezipaměť používá Cloudové služby (classic), najdete v tématu Návody zjistit, jestli je ovlivněná mezipaměť?.

Vytvoření nové mezipaměti se spravovanou identitou pomocí portálu

  1. Přihlaste se k portálu Azure.

  2. Vytvořte nový prostředek Azure Cache for Redis s typem mezipaměti libovolné úrovně Premium. Vyplňte kartu Základy se všemi požadovanými informacemi.

    Snímek obrazovky znázorňující, jak vytvořit mezipaměť Premium

  3. Vyberte kartu Upřesnit. Pak se posuňte dolů na spravovanou identitu přiřazenou systémem a vyberte Zapnuto.

    Snímek obrazovky se stránkou Upřesnit formuláře

  4. Dokončete proces vytváření. Po vytvoření a nasazení mezipaměti ji otevřete a vyberte kartu Identita v části Nastavení vlevo. Uvidíte, že id objektu přiřazené systémem bylo přiřazeno k identitě mezipaměti.

    Snímek obrazovky znázorňující identitu v nabídce Prostředek

Přidání identity přiřazené systémem do existující mezipaměti

  1. Na webu Azure Portal přejděte k prostředku Azure Cache for Redis. V nabídce Prostředek na levé straně vyberte Identitu .

  2. Pokud chcete povolit identitu přiřazenou systémem, vyberte kartu Přiřazený systém a v části Stav vyberte Zapnuto. Potvrďte výběr možnosti Uložit .

    Snímek obrazovky znázorňující vybranou možnost Přiřazený systém a stav je zapnutý

  3. Zobrazí se dialogové okno s informací, že vaše mezipaměť bude zaregistrována v Microsoft Entra ID a že může být udělena oprávnění pro přístup k prostředkům chráněným Microsoft Entra ID. Vyberte Ano. Snímek obrazovky s dotazem, jestli chcete povolit spravovanou identitu

  4. Zobrazí se ID objektu (objektu zabezpečení) označující, že identita byla přiřazena.

    Snímek obrazovky znázorňující ID objektu (objektu zabezpečení)

Přidání identity přiřazené uživatelem do existující mezipaměti

  1. Na webu Azure Portal přejděte k prostředku Azure Cache for Redis. V nabídce Prostředek na levé straně vyberte Identitu .

  2. Pokud chcete povolit identitu přiřazenou uživatelem, vyberte kartu Přiřazený uživatel a vyberte Přidat.

    Stav identity přiřazené uživatelem je zapnutý.

  3. Zobrazí se boční panel, který vám umožní vybrat jakoukoli dostupnou identitu přiřazenou uživatelem k vašemu předplatnému. Zvolte identitu a vyberte Přidat. Další informace o spravovaných identitách přiřazených uživatelem najdete v tématu správa identity přiřazené uživatelem.

    Poznámka:

    Před tímto krokem je potřeba vytvořit identitu přiřazenou uživatelem.

    Snímek obrazovky znázorňující spravovanou identitu přiřazenou uživatelem

  4. Zobrazí se identita přiřazená uživatelem uvedená v podokně Přiřazené uživatelem.

    Snímek obrazovky se seznamem názvů, skupin prostředků a předplatných

Povolení spravované identity pomocí Azure CLI

Pomocí Azure CLI můžete vytvořit novou mezipaměť se spravovanou identitou nebo aktualizovat existující mezipaměť tak, aby používala spravovanou identitu. Další informace najdete v tématu az redis create nebo az redis identity.

Pokud například chcete aktualizovat mezipaměť tak, aby používala systémovou spravovanou identitu, použijte následující příkaz rozhraní příkazového řádku:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Povolení spravované identity pomocí Azure PowerShellu

Pomocí Azure PowerShellu můžete vytvořit novou mezipaměť se spravovanou identitou nebo aktualizovat existující mezipaměť tak, aby používala spravovanou identitu. Další informace najdete v tématu New-AzRedisCache nebo Set-AzRedisCache.

Pokud chcete například aktualizovat mezipaměť tak, aby používala identitu spravovanou systémem, použijte následující příkaz PowerShellu:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Konfigurace účtu úložiště pro použití spravované identity

Důležité

Spravovaná identita musí být nakonfigurovaná v účtu úložiště, aby služba Azure Cache for Redis získala přístup k účtu pro trvalost nebo funkci importu/exportu. Pokud se tento krok nedokončí správně, zobrazí se chyby nebo se nezapisuje žádná data.

  1. Vytvořte nový účet úložiště nebo otevřete existující účet úložiště, který chcete připojit k instanci mezipaměti.

  2. V nabídce Prostředek otevřete řízení přístupu (IAM). Pak vyberte Přidat a Přidat přiřazení role.

    Snímek obrazovky s nastavením řízení přístupu (IAM)

  3. V podokně Role vyhledejte Přispěvatel dat objektů blob služby Storage. Vyberte ho a další.

    Snímek obrazovky s formulářem Přidat přiřazení role se seznamem rolí

  4. Vyberte kartu Členové. V části Přiřadit přístup vyberte Spravovanou identitu a vyberte možnost Vybrat členy. Vedle pracovního podokna se zobrazí boční panel.

    Snímek obrazovky znázorňující formulář pro přidání přiřazení role s podoknem členů

  5. V rozevíracím seznamu Spravovaná identita vyberte spravovanou identitu přiřazenou uživatelem nebo spravovanou identitu přiřazenou systémem. Pokud máte mnoho spravovaných identit, můžete vyhledávat podle názvu. Zvolte spravované identity, které chcete, a pak vyberte. Pak zkontrolujte a přiřaďte potvrzení.

    Snímek obrazovky zobrazující formulář spravované identity s označenou spravovanou identitou přiřazenou uživatelem

  6. Pokud chcete ověřit, jestli byla identita úspěšně přiřazená, zkontrolujte přiřazení rolí účtu úložiště v části Přispěvatel dat objektů blob služby Storage.

    Snímek obrazovky se seznamem Přispěvatel dat objektů blob služby Storage

Poznámka:

Aby export fungoval s účtem úložiště s výjimkami brány firewall, musíte:

Pokud nepoužíváte spravovanou identitu a místo toho autorizujete účet úložiště s klíčem, přeruší se proces trvalosti a procesy importu brány firewall v účtu úložiště.

Použití spravované identity pro přístup k účtu úložiště

Použití spravované identity s trvalostmi dat

  1. Otevřete instanci Azure Cache for Redis, která má přiřazenou roli Přispěvatel dat v objektu blob služby Storage, a v nabídce Prostředek přejděte na trvalost dat.

  2. Změňte metoduověřování na spravovanou identitu a vyberte účet úložiště, který jste nakonfigurovali dříve v článku. vyberte Uložit.

    Snímek obrazovky znázorňující podokno trvalosti dat s vybranou metodou ověřování

    Důležité

    Pokud je tato identita povolená, nastaví se jako výchozí identita přiřazená systémem. V opačném případě se použije první uvedená identita přiřazená uživatelem.

  3. Zálohy trvalosti dat se teď dají uložit do účtu úložiště pomocí ověřování spravované identity.

    Snímek obrazovky znázorňující export dat v nabídce Prostředek

Použití spravované identity k importu a exportu dat mezipaměti

  1. Otevřete instanci Azure Cache for Redis, která má přiřazenou roli Přispěvatel dat objektů blob úložiště, a v části Správa istrace přejděte na kartu Import nebo Export.

  2. Pokud importujete data, zvolte umístění úložiště objektů blob, ve které je vybraný soubor RDB. Pokud exportujete data, zadejte požadovanou předponu názvu objektu blob a kontejner úložiště. V obou situacích musíte použít účet úložiště, který jste nakonfigurovali pro přístup ke spravované identitě.

    Snímek obrazovky znázorňující vybranou spravovanou identitu

  3. V části Metoda ověřování zvolte Spravovaná identita a vyberte Možnost Importovat nebo Exportovat.

Poznámka:

Import nebo export dat bude trvat několik minut.

Důležité

Pokud se zobrazí selhání exportu nebo importu, pečlivě zkontrolujte, jestli je váš účet úložiště nakonfigurovaný se systémem přiřazenou systémem nebo identitou přiřazenou uživatelem. Pokud je identita povolená, použije se ve výchozím nastavení jako identita přiřazená systémem. V opačném případě se použije první uvedená identita přiřazená uživatelem.

Související obsah