Compartir vía

Identidad administrada para cuentas de almacenamiento

  • Se aplica a: ✅ Azure Cache for Redis

Importante

Azure Cache for Redis anunció su cronograma de retiro para todos los SKU. Se recomienda mover las instancias existentes de Azure Cache for Redis a Azure Managed Redis tan pronto como pueda.

Para obtener más información sobre la retirada:

Una identidad administrada ayuda a los servicios de Azure a conectarse entre sí mediante la autenticación más simplificada y segura. En lugar de administrar la autorización entre los servicios, una identidad administrada usa microsoft Entra ID para proporcionar autenticación. En este artículo se describe cómo usar la identidad administrada para conectar las cachés de Azure Cache for Redis a cuentas de Azure Storage.

Una identidad administrada le permite simplificar el proceso de conexión segura a una cuenta de Azure Storage para los siguientes escenarios de Azure Redis:

  • Persistencia de datos para realizar copias de seguridad de los datos en la memoria caché.
  • Importe o exporte para guardar instantáneas de datos de caché o importar datos de un archivo guardado.

Nota:

Solo las características de persistencia e importación y exportación de datos de Azure Redis usan la identidad administrada. Estas características solo están disponibles en el nivel Azure Redis Premium, por lo que la identidad administrada solo está disponible en el nivel Azure Redis Premium.

Azure Cache for Redis admite identidades administradas asignadas por el sistema y asignadas por el usuario . Cada tipo de identidad administrada tiene ventajas, pero la funcionalidad es la misma en Azure Cache for Redis.

  • La identidad asignada por el sistema es específica del recurso de caché. Si se elimina la memoria caché, se elimina la identidad.
  • La identidad asignada por el usuario es específica de un usuario. Puede asignar esta identidad a cualquier recurso, como una cuenta de almacenamiento, que admita la identidad administrada. Esta asignación permanece incluso si elimina el recurso de caché específico.

La configuración de la identidad administrada para la persistencia de datos de Azure Redis Premium o las características de importación y exportación consta de varias partes:

Todas las partes deberán ser completadas de forma correcta antes de que la persistencia de datos Azure Redis o la importación-exportación puedan acceder a la cuenta de almacenamiento. De lo contrario, verá errores o ningún dato escrito.

Ámbito de disponibilidad

Nivel Básico y Estándar De primera calidad Enterprise o Enterprise Flash
Disponible No

Prerrequisitos

  • Capacidad de crear y configurar una instancia de Azure Redis Cache de nivel Premium y una cuenta de Azure Storage en una suscripción de Azure.
  • Para asignar una identidad administrada asignada por el usuario: una identidad administrada creada en la misma suscripción de Azure que la cuenta de Azure Redis Cache y Storage.

Habilitación de una entidad administrada

Puede habilitar la identidad administrada para azure Redis Cache mediante Azure Portal, la CLI de Azure o Azure PowerShell. Puede habilitar la identidad administrada al crear una instancia de caché o después.

Habilitación de la identidad administrada en Azure Portal

Durante la creación de la caché, solo puede asignar una identidad administrada asignada por el sistema. Puede agregar una identidad asignada por el sistema o una identidad asignada por el usuario a una caché existente.

Creación de una nueva caché con identidad administrada

  1. En Azure Portal, elija crear una caché de Azure Cache for Redis. En la pestaña Aspectos básicos , seleccione Premium para la SKU de caché y complete el resto de la información necesaria.

    Captura de pantalla de la creación de una caché Premium.

  2. Seleccione la pestaña Avanzadas y, en Identidad administrada asignada por el sistema, establezca Estado en Activado.

    Captura de pantalla que muestra la configuración de la identidad administrada asignada por el sistema en 'Activado'.

  3. Complete el proceso de creación de la memoria caché.

  4. Una vez implementada la memoria caché, vaya a la página de caché y seleccione Identidad en Configuración en el menú de navegación izquierdo. Compruebe que un identificador de objeto (principal) aparece en la pestaña Asignado por el sistema de la página Identidad.

    Recorte de pantalla que muestra Identidad en el menú Recurso.

Adición de una identidad asignada por el sistema a una caché existente

  1. En la página del portal de Azure de la caché de Azure Redis Premium, seleccione Identidad bajo Configuración en el menú de navegación izquierdo.

  2. En la pestaña Asignado por el sistema , establezca Estado en Activado y, a continuación, seleccione Guardar.

    Recorte de pantalla que muestra la opción System Assigned (Asignada por el sistema) seleccionada y Status (Estado) está activada.

  3. Responda a la solicitud Habilitar identidad administrada asignada por el sistema .

  4. Una vez asignada la identidad, compruebe que un identificador de objeto (principal) se muestra en la pestaña Asignado por el sistema de la página Identidad.

    Captura de pantalla que muestra el identificador de objeto (principal).

Adición de una identidad asignada por el usuario a una caché existente

  1. En la página del portal de Azure de la caché de Azure Redis Premium, seleccione Identidad bajo Configuración en el menú de navegación izquierdo.

  2. Seleccione la pestaña User assigned (Usuario asignado) y, a continuación, seleccione Agregar.

    El estado de identidad asignado por el usuario está activado.

  3. En la pantalla Agregar identidad administrada asignada por el usuario , seleccione una identidad administrada de la suscripción y seleccione Agregar. Para obtener más información sobre las identidades administradas asignadas por el usuario, consulte Administración de identidades asignadas por el usuario.

    Captura de pantalla que muestra una identidad administrada asignada por el usuario.

  4. Después de agregar la identidad asignada por el usuario, verifique que aparece en la pestaña Asignado por el usuario de la página Identidad.

    Captura de pantalla que muestra la identidad asignada por el usuario en la página Identidad.

Habilitación de la identidad administrada mediante la CLI de Azure

Puede usar la CLI de Azure para crear una nueva caché con identidad administrada mediante az redis create. Puede actualizar una caché existente para usar la identidad administrada mediante az redis identity.

Por ejemplo, para actualizar una memoria caché para usar la identidad administrada por el sistema, use el siguiente comando de la CLI de Azure:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Habilitación de la identidad administrada mediante Azure PowerShell

Puede usar Azure PowerShell para crear una nueva caché con identidad administrada mediante New-AzRedisCache. Puede actualizar una caché existente para usar la identidad administrada mediante Set-AzRedisCache.

Por ejemplo, para actualizar una memoria caché para usar la identidad administrada por el sistema, use el siguiente comando de Azure PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configuración de la cuenta de almacenamiento para usar la identidad administrada

  1. En Azure Portal, cree una nueva cuenta de almacenamiento o abra una cuenta de almacenamiento existente que quiera conectarse a la instancia de caché.

  2. Seleccione Control de acceso (IAM) en el menú de navegación izquierdo.

  3. En la página Control de acceso (IAM), seleccione Agregar asignación> deroles.

    Captura de pantalla que muestra la configuración de Control de acceso (IAM).

  4. En la pestaña Rol de la página Agregar asignación de roles , busque y seleccione Colaborador de datos de Storage Blob y, a continuación, seleccione Siguiente.

    Captura de pantalla que muestra el formulario Agregar asignación de roles con la lista de roles.

  5. En la pestaña Miembros , en Asignar acceso a, seleccione Identidad administrada y, a continuación, seleccione Seleccionar miembros.

    Captura de pantalla que muestra el formulario de agregar asignación de roles con el panel de miembros.

  6. En el panel Seleccionar identidades administradas , seleccione la flecha desplegable en Identidad administrada para ver todas las identidades administradas asignadas por el usuario y asignadas por el sistema disponibles. Si tiene muchas identidades administradas, puede buscar la que desee. Elija las identidades administradas que desee y, a continuación, seleccione Seleccionar.

    Recorte de pantalla que muestra el panel Seleccionar identidades administradas.

  7. En la página Agregar asignación de roles , seleccione Revisar y asignar y, a continuación, seleccione Revisar y asignar de nuevo para confirmar.

    Captura de pantalla que muestra el formulario de identidad administrada con identidades administradas asignadas.

  8. En la página Control de acceso (IAM) de la cuenta de almacenamiento, seleccione Ver en Ver acceso a este recurso, y luego busque Colaborador de datos de Storage Blob en la pestaña Asignaciones de roles para verificar que las identidades administradas estén agregadas.

    Captura de pantalla de la lista de colaboradores de datos de Storage Blob.

Importante

Para que la exportación funcione con una cuenta de almacenamiento con excepciones de firewall, debe hacer lo siguiente:

Si no usa la identidad administrada y, en su lugar, autoriza una cuenta de almacenamiento con una clave, tener excepciones de firewall en la cuenta de almacenamiento interrumpe el proceso de persistencia y los procesos de importación y exportación.

Uso de una identidad administrada con persistencia de datos

  1. En la página de Azure Portal de la caché de Azure Redis Premium que tiene el rol Colaborador de datos de Storage Blob, seleccione Persistencia de datos en Configuración en el menú de navegación izquierdo.

  2. Asegúrese de que el método de autenticación esté establecido en Identidad administrada.

    Importante

    La selección tiene como valor predeterminado la identidad asignada por el sistema si está habilitada. De lo contrario, utiliza la primera identidad asignada por el usuario.

  3. En Cuenta de almacenamiento, seleccione la cuenta de almacenamiento que configuró para usar la identidad administrada, si aún no está seleccionada, y seleccione Guardar si es necesario.

    Captura de pantalla que muestra el panel de persistencia de datos con el método de autenticación seleccionado.

Ahora puede guardar copias de seguridad de persistencia de datos en la cuenta de almacenamiento mediante la autenticación de identidad administrada.

Uso de la identidad administrada para importar y exportar datos de caché

  1. En la página del portal de Azure para su caché de Azure Redis Premium, que tiene el rol de Colaborador de datos de Storage Blob, seleccione Importar datos o Exportar datos en Administración en el menú de navegación a la izquierda.

  2. En la pantalla Importar datos o Exportar datos , seleccione Identidad administrada para método de autenticación.

  3. Para importar datos, en la pantalla Importar datos, seleccione Elegir Blob(s) al lado de Archivo(s) RDB. Seleccione el archivo o los archivos de Redis Database (RDB) en la ubicación de Blob Storage y seleccione Seleccionar.

  4. Para exportar datos, en la pantalla Exportar datos, escriba un prefijo del nombre de blob y, a continuación, seleccione Elegir contenedor de almacenamiento al lado de Exportar salida. Seleccione o cree un contenedor para almacenar los datos exportados y seleccione Seleccionar.

    Captura de pantalla que muestra la identidad administrada seleccionada.

  5. En la pantalla Importar datos o Exportar datos , seleccione Importar o Exportar respectivamente.

    Nota:

    Tarda unos minutos en importar o exportar los datos.

Importante

Si ve un error de exportación o importación, compruebe que la cuenta de almacenamiento se ha configurado con la identidad asignada por el sistema o asignada por el usuario de la memoria caché. La identidad que se utiliza por defecto es la identidad asignada por el sistema si está habilitada. De lo contrario, utiliza la primera identidad asignada por el usuario.

Contenido relacionado

  • Last updated on