Verwaltete Identität für Speicher

Verwaltete Identitäten sind ein gängiges Tool, das in Azure verwendet wird, um Entwicklern dabei zu helfen, den Aufwand für die Verwaltung von Geheimnissen und Anmeldeinformationen zu minimieren. Verwaltete Identitäten sind nützlich, wenn Azure-Dienste miteinander verbunden werden. Anstatt die Autorisierung zwischen den einzelnen Diensten verwalten zu müssen, können Sie mit Azure Active Directory (Azure AD) eine verwaltete Identität bereitstellen, um den Authentifizierungsprozess zu optimieren und sicherer zu gestalten.

Verwenden einer verwalteten Identität mit Speicherkonten

Azure Cache for Redis kann derzeit eine verwaltete Identität verwenden, um eine Verbindung mit einem Speicherkonto herzustellen. Dies ist in den folgenden Szenarios nützlich:

  • Datenpersistenz: Geplante Sicherungen von Daten in Ihrem Cache über eine RDB- oder AOF-Datei.

  • Importieren/Exportieren: Speichern von Momentaufnahmen von Cachedaten oder Importieren von Daten aus einer gespeicherten Datei.

Mit einer verwalteten Identität können Sie den Prozess zum Herstellen einer sicheren Verbindung mit dem ausgewählten Speicherkonto für diese Aufgaben vereinfachen.

Hinweis

Diese Funktion unterstützt derzeit noch keine Authentifizierung beim Herstellen einer Verbindung mit einer Cache-Instanz.

Azure Cache for Redis unterstützt beide Typen von verwalteten Identitäten:

  • Systemseitig zugewiesene Identität: Ist für die Ressource spezifisch. In diesem Fall ist der Cache die Ressource. Sobald der Cache gelöscht wird, wird auch die Identität gelöscht.

  • Benutzerseitig zugewiesene Identität: Ist für einen Benutzer spezifisch, nicht für die Ressource. Sie kann jeder Ressource zugewiesen werden, die verwaltete Identitäten unterstützt, und bleibt auch dann erhalten, wenn Sie den Cache löschen.

Beide Typen von verwalteten Identitäten besitzen ihre Vorteile, doch in Azure Cache for Redis sind die Funktionen identisch.

Aktivieren einer verwalteten Identität

Eine verwaltete Identität kann sowohl beim Erstellen einer Cache-Instanz aktiviert werden als auch danach. Während der Erstellung eines Caches kann nur eine systemseitig zugewiesene Identität zugewiesen werden. Einem bereits vorhandenen Cache können beide Identitätstypen hinzugefügt werden.

Voraussetzungen und Einschränkungen

Verwaltete Identität für den Speicher wird derzeit nur mit dem Feature "Import/Export" und "Persistenz" verwendet, das die Verwendung auf die Premium-Ebene von Azure Cache for Redis beschränkt.

Verwaltete Identität für den Speicher wird für Caches, die eine Abhängigkeit von Cloud Services (klassisch) haben, nicht unterstützt. Weitere Informationen dazu, wie Sie überprüfen können, ob Der Cache Cloud Services (classi) verwendet, finden Sie unter Gewusst wie wissen, ob ein Cache betroffen ist?.

Erstellen eines neuen Caches mit einer verwalteten Identität über das Portal

  1. Melden Sie sich beim Azure-Portal an.

  2. Erstellen Sie eine neue Azure Cache for Redis-Ressource, und wählen Sie für Cachetyp einen der Premium-Tarife aus. Geben Sie auf der Registerkarte Allgemeine Informationen alle erforderlichen Informationen an.

    Screenshot: Erstellen eines Premium-Caches

  3. Wählen Sie die Registerkarte Erweitert aus. Scrollen Sie dann nach unten zu Systemseitig zugewiesene verwaltete Identität, und aktivieren Sie die Option Ein.

    Screenshot: Seite „Erweitert“ des Formulars

  4. Schließen Sie den Erstellungsprozess ab. Sobald der Cache erstellt und bereitgestellt wurde, öffnen Sie ihn und wählen im Abschnitt Einstellungen auf der linken Seite die Registerkarte Identität aus. Wie Sie sehen, wurde der Cache-Identität eine systemseitig zugewiesene Objekt-ID zugewiesen.

    Screenshot: Identität im Ressourcenmenü

Hinzufügen einer systemseitig zugewiesenen Identität zu einem vorhandenen Cache

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Cache for Redis-Ressource. Wählen Sie im Ressourcenmenü auf der linken Seite die Option Identität aus.

  2. Um eine systemseitig zugewiesene Identität zu aktivieren, wählen Sie die Registerkarte Systemseitig zugewiesen aus und klicken unter Status auf Ein. Klicken Sie auf Speichern, um den Vorgang zu bestätigen.

    Screenshot: Option „Systemseitig zugewiesen“ ist ausgewählt, und der Status lautet „Ein“

  3. Es wird ein Dialogfeld mit der Meldung angezeigt, dass Ihr Cache bei Azure Active Directory registriert wird und Sie ihm Berechtigungen für den Zugriff auf Ressourcen erteilen können, die von Azure AD geschützt werden. Wählen Sie Ja aus. Screenshot: Eingabeaufforderung zum Aktivieren der verwalteten Identität

  4. Es wird eine Objekt-ID (Prinzipal) angezeigt, die angibt, dass die Identität zugewiesen wurde.

    Screenshot: Objekt-ID (Prinzipal)

Hinzufügen einer benutzerseitig zugewiesenen Identität zu einem vorhandenen Cache

  1. Navigieren Sie im Azure-Portal zu Ihrer Azure Cache for Redis-Ressource. Wählen Sie im Ressourcenmenü auf der linken Seite die Option Identität aus.

  2. Um eine benutzerseitig zugewiesene Identität zu aktivieren, wählen Sie die Registerkarte Benutzer zugewiesen und dann die Option Hinzufügen aus.

    Benutzerseitig zugewiesenen Identität mit dem Status „Ein“

  3. Es wird eine Randleiste angezeigt, aus der Sie eine beliebige verfügbare benutzerseitig zugewiesene Identität für Ihr Abonnement auswählen können. Wählen Sie eine Identität aus, und klicken Sie auf Hinzufügen. Weitere Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

    Hinweis

    Vor diesem Schritt müssen Sie eine benutzerseitig zugewiesene Identität erstellen.

    Screenshot: Benutzerseitig zugewiesene verwaltete Identität

  4. Die benutzerseitig zugewiesene Identität wird im Bereich Benutzerseitig zugewiesen angezeigt.

    Screenshot: Liste mit Namen, Ressourcen und Abonnements

Aktivieren einer verwalteten Identität mithilfe der Azure CLI

Verwenden Sie die Azure CLI, um einen neuen Cache mit einer verwalteten Identität zu erstellen oder einen vorhandenen Cache für die Verwendung einer verwalteten Identität zu aktualisieren. Weitere Informationen finden Sie unter az redis create oder az redis identity.

Verwenden Sie beispielsweise den folgenden CLI-Befehl, um einen Cache für die Verwendung einer systemseitig verwalteten Identität zu aktualisieren:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Aktivieren einer verwalteten Identität mit Azure PowerShell

Verwenden Sie Azure PowerShell, um einen neuen Cache mit einer verwalteten Identität zu erstellen oder einen vorhandenen Cache für die Verwendung einer verwalteten Identität zu aktualisieren. Weitere Informationen finden Sie unter New-AzRedisCache oder Set-AzRedisCache.

Verwenden Sie beispielsweise den folgenden PowerShell-Befehl, um einen Cache für die Verwendung einer systemseitig verwalteten Identität zu aktualisieren:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Konfigurieren des Speicherkontos für die Verwendung einer verwalteten Identität

Wichtig

Die Verwendung einer verwalteten Identität muss im Speicherkonto konfiguriert werden, bevor Azure Cache for Redis zur Nutzung der Persistenz- oder Import/Export-Funktionen auf das Konto zugreifen kann. Wird dieser Schritt nicht ordnungsgemäß ausgeführt, werden Fehler angezeigt oder keine Daten geschrieben.

  1. Erstellen Sie ein neues Speicherkonto, oder öffnen Sie ein vorhandenes Speicherkonto, das Sie mit Ihrer Cache-Instanz verbinden möchten.

  2. Klicken Sie im Menü „Ressource“ auf Zugriffssteuerung (IAM), um diese zu öffnen. Klicken Sie auf Hinzufügen und dann auf Rollenzuweisung hinzufügen.

    Screenshot: Einstellungen für „Zugriffssteuerung (IAM)“

  3. Suchen Sie im Bereich „Rolle“ nach Mitwirkender an Speicherblobdaten. Wählen Sie diese Rolle aus, und klicken Sie auf Weiter.

    Screenshot: Formular „Rollenzuweisung hinzufügen“ mit einer Liste der Rollen

  4. Wechseln Sie zur Registerkarte Mitglieder. Aktivieren Sie unter Zugriff zuweisen für die Option Verwaltete Identität, und klicken Sie auf Mitglieder auswählen. Daraufhin wird auf der rechten Seite eine Randleiste angezeigt.

    Screenshot: Formular „Rollenzuweisung hinzufügen“ mit Mitgliederbereich

  5. Wählen Sie in der Dropdownliste Verwaltete Identität entweder die Option Benutzerseitig zugewiesene verwaltete Identität oder die Option Systemseitig zugewiesene verwaltete Identität aus. Wenn Sie über mehrere verwaltete Identitäten verfügen, können Sie nach deren Namen suchen. Wählen Sie die gewünschten verwalteten Identitäten aus, und klicken Sie auf Auswählen. Klicken Sie anschließend auf Überprüfen und zuweisen, um die Auswahl zu bestätigen.

    Screenshot: Formular „Verwaltete Identität hinzufügen“ mit Anzeige der benutzerseitig zugewiesenen verwalteten Identität

  6. Wenn Sie nachsehen möchten, ob die Identität erfolgreich zugewiesen wurde, überprüfen Sie unter Mitwirkender an Speicherblobdaten die Rollenzuweisungen Ihres Speicherkontos.

    Screenshot: „Mitwirkender an Storage-Blobdaten“

Hinweis

Durch das Hinzufügen einer Azure Cache for Redis-Instanz als Mitwirkender von Speicherblobdaten über eine vom System zugewiesene Identität wird die Cache-Instanz bequem zur Liste der vertrauenswürdigen Dienste hinzugefügt, wodurch Firewallausnahmen einfacher implementiert werden können. Wenn Sie keine verwaltete Identität verwenden und stattdessen ein Speicherkonto mit einem Schlüssel autorisieren, unterbrechen Firewallausnahmen für das Speicherkonto tendenziell den Persistenzprozess und die Import-Export-Prozesse.

Zugreifen auf ein Speicherkonto mithilfe einer verwalteten Identität

Verwenden einer verwalteten Identität für Datenpersistenz

  1. Öffnen Sie die Azure Cache for Redis-Instanz, der die Rolle „Mitwirkender an Speicherblobdaten“ zugewiesen wurde, und wechseln Sie im Menü „Ressource“ zu Datenpersistenz.

  2. Ändern Sie die Authentifizierungsmethode in Verwaltete Identität, und wählen Sie das oben konfigurierte Speicherkonto aus. Wählen Sie Speichern aus.

    Screenshot: Bereich „Datenpersistenz“ mit ausgewählter Authentifizierungsmethode

    Wichtig

    Als Standardidentität wird die systemseitig zugewiesene Identität festgelegt, sofern diese aktiviert ist. Andernfalls wird die erste aufgeführte benutzerseitig zugewiesene Identität verwendet.

  3. Datenpersistenzsicherungen können nun mittels Authentifizierung mithilfe der verwalteten Identität im Speicherkonto gespeichert werden.

    Screenshot: Option „Daten exportieren“ im Ressourcenmenü

Verwenden einer verwalteten Identität zum Importieren und Exportieren von Cachedaten

  1. Öffnen Sie die Azure Cache for Redis-Instanz, der die Rolle „Mitwirkender an Speicherblobdaten“ zugewiesen wurde, und wechseln Sie unter Verwaltung zur Registerkarte Importieren von Daten bzw. Exportieren von Daten.

  2. Wählen Sie zum Importieren von Daten den Blobspeicherort aus, der die ausgewählte RDB-Datei enthält. Geben Sie zum Exportieren von Daten das gewünschte Blobnamenpräfix und den gewünschten Speichercontainer ein. Verwenden Sie in beiden Fällen das Speicherkonto, das Sie für den Zugriff durch die verwaltete Identität konfiguriert haben.

    Screenshot: Ausgewählte Option „Verwaltete Identität“

  3. Wählen Sie unter Authentifizierungsmethode die Option Verwaltete Identität aus, und klicken Sie anschließend auf Importieren oder Exportieren.

Hinweis

Das Importieren bzw. Exportieren der Daten dauert einige Minuten.

Wichtig

Wird ein Export- oder Importfehler angezeigt, überprüfen Sie, ob Ihr Speicherkonto für die systemseitig oder benutzerseitig zugewiesene Identität Ihres Caches konfiguriert wurde. Als Standardidentität wird die systemseitig zugewiesene Identität festgelegt, sofern diese aktiviert ist. Andernfalls wird die erste aufgeführte benutzerseitig zugewiesene Identität verwendet.

Nächste Schritte