Freigeben über

Verwaltete Identität für Speicherkonten

  • Gilt für:: ✅ Azure Cache for Redis

Eine verwaltete Identität hilft Azure-Diensten, sich miteinander zu verbinden, indem die Authentifizierung optimiert und sicherer wird. Anstatt die Autorisierung zwischen den Diensten zu verwalten, verwendet eine verwaltete Identität Microsoft Entra-ID , um die Authentifizierung bereitzustellen. In diesem Artikel wird beschrieben, wie Sie verwaltete Identität verwenden, um Azure Cache für Redis-Caches mit Azure Storage-Konten zu verbinden.

Mit einer verwalteten Identität können Sie den Prozess der sicheren Verbindung mit einem Azure Storage-Konto für die folgenden Azure Redis-Szenarien vereinfachen:

Hinweis

Nur die Azure Redis-Datenpersistenz und Importexportfeatures verwenden verwaltete Identität. Diese Features sind nur auf der Azure Redis Premium-Stufe verfügbar, sodass die verwaltete Identität nur auf der Azure Redis Premium-Stufe verfügbar ist.

Azure Cache für Redis unterstützt sowohl vom System zugewiesene als auch vom Benutzer zugewiesene verwaltete Identitäten. Jede Art von verwalteter Identität hat Vorteile, aber die Funktionalität ist im Azure-Cache für Redis identisch.

  • Die vom System zugewiesene Identität ist spezifisch für die Cacheressource. Wenn der Cache gelöscht wird, wird die Identität gelöscht.
  • Die vom Benutzer zugewiesene Identität ist spezifisch für einen Benutzer. Sie können diese Identität jeder Ressource, z. B. einem Speicherkonto, zuweisen, das verwaltete Identität unterstützt. Diese Zuordnung bleibt auch dann bestehen, wenn Sie die spezifische Cacheressource löschen.

Das Konfigurieren der verwalteten Identität für azure Redis Premium-Datenpersistenz oder Importexportfeatures besteht aus mehreren Teilen:

Alle Teile müssen ordnungsgemäß abgeschlossen werden, bevor Funktionen der Azure Redis-Datenpersistenz oder des Import-Exports auf das Speicherkonto zugreifen können. Andernfalls sehen Sie Fehler oder keine geschriebenen Daten.

Umfang der Verfügbarkeit

Tarif Basis, Standard Prämie Enterprise, Enterprise Flash
Verfügbar Ja Ja Nein

Voraussetzungen

  • Möglichkeit zum Erstellen und Konfigurieren eines Azure Redis-Caches auf Premiumebene und eines Azure Storage-Kontos in einem Azure-Abonnement.
  • So weisen Sie eine vom Benutzer zugewiesene verwaltete Identität zu: Eine verwaltete Identität , die im selben Azure-Abonnement wie der Azure Redis-Cache und das Speicherkonto erstellt wurde.

Aktivieren einer verwalteten Identität

Sie können verwaltete Identitäten für Ihren Azure Redis-Cache aktivieren, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden. Sie können verwaltete Identität aktivieren, wenn Sie eine Cacheinstanz oder danach erstellen.

Aktivieren der verwalteten Identität im Azure-Portal

Während der Cacheerstellung können Sie nur die systemseitig zugewiesene verwaltete Identität zuweisen. Sie können entweder vom System zugewiesene oder eine vom Benutzer zugewiesene Identität zu einem vorhandenen Cache hinzufügen.

Erstellen eines neuen Caches mit verwalteter Identität

  1. Wählen Sie im Azure-Portal die Option zum Erstellen eines Azure Cache für Redis. Wählen Sie auf der Registerkarte " Grundlagen " die Option "Premium " für die Cache-SKU aus, und füllen Sie die restlichen erforderlichen Informationen aus.

    Screenshot des Erstellens eines Premium-Caches.

  2. Wählen Sie die Registerkarte Erweitert aus, und legen Sie unter Systemseitig zugewiesene verwaltete Identität die Option Status auf Ein fest.

    Screenshot, der zeigt, dass die vom System zugewiesene verwaltete Identität auf

  3. Schließen Sie den Cacheerstellungsprozess ab.

  4. Nachdem der Cache bereitgestellt wurde, wechseln Sie zur Cacheseite, und wählen Sie im linken Navigationsmenü unter "Einstellungen" die Option "Identität" aus. Stellen Sie sicher, dass auf der Registerkarte "System zugewiesen" auf der Seite "Identität" eine Objekt-ID (Prinzipal-ID) angezeigt wird.

    Screenshot: Identität im Ressourcenmenü

Hinzufügen der vom System zugewiesenen Identität zu einem vorhandenen Cache

  1. Wählen Sie auf der Azure-Portalseite für Ihren Azure Redis Premium-Cache unter "Einstellungen" im linken Navigationsmenü die Option "Identität" aus.

  2. Legen Sie auf der Registerkarte System zugewiesen die Option Status auf Ein fest, und wählen Sie dann Speichern aus.

    Screenshot: Option „Systemseitig zugewiesen“ ist ausgewählt, und der Status lautet „Ein“

  3. Antworten Sie mit Ja auf die Aufforderung Vom System zugewiesene verwaltete Identität aktivieren.

  4. Überprüfen Sie nach der Zuweisung der Identität, ob eine Objekt-ID (Prinzipal-ID) auf der Registerkarte " System zugewiesen " der Seite " Identität" angezeigt wird.

    Screenshot: Objekt-ID (Prinzipal)

Hinzufügen einer vom Benutzer zugewiesenen Identität zu einem vorhandenen Cache

  1. Wählen Sie auf der Azure-Portalseite für Ihren Azure Redis Premium-Cache unter "Einstellungen" im linken Navigationsmenü die Option "Identität" aus.

  2. Wählen Sie die Registerkarte Benutzerseitig zugewiesen und dann Hinzufügen aus.

    Benutzerseitig zugewiesenen Identität mit dem Status „Ein“

  3. Wählen Sie auf dem Bildschirm " Vom Benutzer zugewiesene verwaltete Identität hinzufügen " eine verwaltete Identität aus Ihrem Abonnement aus, und wählen Sie "Hinzufügen" aus. Weitere Informationen zu benutzerseitig zugewiesenen verwalteten Identitäten finden Sie unter Verwalten von benutzerseitig zugewiesenen verwalteten Identitäten.

    Screenshot einer vom Benutzer zugewiesenen verwalteten Identität.

  4. Nachdem die vom Benutzer zugewiesene Identität hinzugefügt wurde, überprüfen Sie, ob sie auf der Registerkarte " Vom Benutzer zugewiesen " der Seite " Identität" angezeigt wird.

    Screenshot der vom Benutzer zugewiesenen Identität auf der Seite

Aktivieren der verwalteten Identität mithilfe von Azure CLI

Sie können die Azure CLI zum Erstellen eines neuen Caches mit verwalteter Identität verwenden, indem Sie az redis erstellen. Sie können einen vorhandenen Cache aktualisieren, um verwaltete Identität zu verwenden, indem Sie az redis identity verwenden.

Um beispielsweise einen Cache für die Verwendung der vom System verwalteten Identität zu aktualisieren, verwenden Sie den folgenden Azure CLI-Befehl:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Aktivieren einer verwalteten Identität mit Azure PowerShell

Sie können Azure PowerShell zum Erstellen eines neuen Caches mit verwalteter Identität mithilfe von New-AzRedisCache verwenden. Sie können einen vorhandenen Cache aktualisieren, um verwaltete Identität mithilfe von Set-AzRedisCache zu verwenden.

Um beispielsweise einen Cache für die Verwendung der vom System verwalteten Identität zu aktualisieren, verwenden Sie den folgenden Azure PowerShell-Befehl:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Konfigurieren des Speicherkontos für die Verwendung der verwalteten Identität

  1. Erstellen Sie im Azure-Portal ein neues Speicherkonto, oder öffnen Sie ein vorhandenes Speicherkonto, das Sie mit Ihrer Cacheinstanz verbinden möchten.

  2. Wählen Sie im linken Navigationsmenü die Zugriffssteuerung (IAM) aus.

  3. Wählen Sie auf der Seite Access Control (IAM) die Option"Rollenzuweisung hinzufügen"> aus.

    Screenshot: Einstellungen für „Zugriffssteuerung (IAM)“

  4. Suchen Sie auf der Registerkarte Rolle der Seite Rollenzuweisung hinzufügen nach Mitwirkender an Storage-Blobdaten, wählen Sie die Rolle aus, und klicken Sie dann auf Weiter.

    Screenshot: Formular „Rollenzuweisung hinzufügen“ mit einer Liste der Rollen

  5. Wählen Sie auf der Registerkarte " Mitglieder " für " Zugriff zuweisen" die Option "Verwaltete Identität" und dann " Mitglieder auswählen" aus.

    Screenshot: Formular „Rollenzuweisung hinzufügen“ mit Mitgliederbereich

  6. Wählen Sie im Bereich "Verwaltete Identitäten auswählen " den Dropdownpfeil unter "Verwaltete Identität " aus, um alle verfügbaren vom Benutzer zugewiesenen und vom System zugewiesenen verwalteten Identitäten anzuzeigen. Wenn Sie über viele verwaltete Identitäten verfügen, können Sie nach der gewünschten Identität suchen. Wählen Sie die gewünschten verwalteten Identitäten und dann "Auswählen" aus.

    Screenshot, der den Bereich

  7. Wählen Sie auf der Seite "Rollenzuweisung hinzufügen" die Option "Überprüfen+ Zuweisen" aus, und wählen Sie dann erneut "Überprüfen" aus, um dies zu bestätigen.

    Screenshot des Formulars

  8. Wählen Sie auf der Seite Access Control (IAM) des Speicherkontos die Option "Anzeigen" unter "Zugriff auf diese Ressource" aus, und suchen Sie dann auf der Registerkarte "Rollenzuweisungen" nach "Storage Blob Data Contributor", um zu überprüfen, ob die verwalteten Identitäten hinzugefügt werden.

    Screenshot: „Mitwirkender an Storage-Blobdaten“

Wichtig

Damit der Export mit einem Speicherkonto mit Firewall-Ausnahmen funktioniert, müssen Sie:

Wenn Sie keine verwaltete Identität verwenden und stattdessen ein Speicherkonto mit einem Schlüssel autorisieren, unterbrechen Firewall-Ausnahmen auf dem Speicherkonto den Persistenzprozess und die Import-Export-Prozesse.

Verwenden einer verwalteten Identität für Datenpersistenz

  1. Wählen Sie auf der Azure-Portalseite für Ihren Azure Redis Premium-Cache mit der Rolle "Storage Blob Data Contributor " die Option "Datenpersistenz " unter "Einstellungen " im linken Navigationsmenü aus.

  2. Stellen Sie sicher, dass die Authentifizierungsmethode auf verwaltete Identität festgelegt ist.

    Wichtig

    Die Auswahl ist standardmäßig auf die vom System zugewiesene Identität festgelegt, wenn diese aktiviert ist. Andernfalls verwendet sie die erste aufgelistete vom Benutzer zugewiesene Identität.

  3. Wählen Sie unter "Speicherkonto" das Speicherkonto aus, das Sie für die Verwendung der verwalteten Identität konfiguriert haben, falls noch nicht ausgewählt, und wählen Sie bei Bedarf " Speichern" aus.

    Screenshot: Bereich „Datenpersistenz“ mit ausgewählter Authentifizierungsmethode

Sie können jetzt Datenpersistenzsicherungen mithilfe der verwalteten Identitätsauthentifizierung im Speicherkonto speichern.

Verwenden einer verwalteten Identität zum Importieren und Exportieren von Cachedaten

  1. Wählen Sie auf der Azure-Portalseite für Ihren Azure Redis Premium-Cache mit der Rolle " Mitwirkender von Speicher-BLOB-Daten " die Option "Daten importieren " oder " Daten exportieren " unter "Verwaltung " im linken Navigationsmenü aus.

  2. Wählen Sie auf dem Bildschirm "Daten importieren " oder " Daten exportieren " die Option "Verwaltete Identität für die Authentifizierungsmethode" aus.

  3. Um Daten zu importieren, wählen Sie auf dem Bildschirm Daten importierenBlob(s) auswählen neben RDB-Datei(en). Wählen Sie Ihre Redis-Datenbankdatei (RDB) oder Dateien aus dem Blob-Speicherort aus, und wählen Sie "Auswählen" aus.

  4. Um Daten zu exportieren, geben Sie auf dem Bildschirm Daten exportieren ein Blobnamenpräfix ein, und wählen Sie dann Speichercontainer auswählen neben Exportausgabe aus. Wählen Sie einen Container aus, der die exportierten Daten enthält, oder erstellen Sie einen Container, und wählen Sie "Auswählen" aus.

    Screenshot: Ausgewählte Option „Verwaltete Identität“

  5. Wählen Sie auf dem Bildschirm " Daten importieren " oder "Daten exportieren " die Option "Importieren " bzw. "Exportieren " aus.

    Hinweis

    Es dauert ein paar Minuten, um die Daten zu importieren oder zu exportieren.

Wichtig

Wird ein Export- oder Importfehler angezeigt, überprüfen Sie, ob Ihr Speicherkonto für die systemseitig oder benutzerseitig zugewiesene Identität Ihres Caches konfiguriert wurde. Wenn aktiviert, wird standardmäßig die vom System zugewiesene Identität verwendet. Andernfalls verwendet sie die erste aufgelistete vom Benutzer zugewiesene Identität.

Zugehöriger Inhalt