Identité managée pour le stockage

  • Article

Les identités managées sont souvent utilisées dans Azure, car elles aident les développeurs à réduire leur charge de travail liée à la gestion des secrets et des informations d’identification. Les identités managées sont utiles lorsque les services Azure sont connectés entre eux. Au lieu de gérer l’autorisation entre chaque service, Microsoft Entra ID peut être utilisé pour fournir une identité managée qui simplifie et sécurise le processus d’authentification.

Utiliser l’identité managée avec des comptes de stockage

Actuellement, Azure Cache pour Redis peut utiliser une identité managée pour se connecter à un compte de stockage, ce qui est utile dans deux scénarios :

  • Persistance des données : sauvegardes planifiées des données de votre cache via un fichier RDB ou AOF.

  • Importer ou exporter : enregistrement d’instantanés des données du cache ou importation de données d’un fichier enregistré.

L’identité managée vous permet de simplifier le processus de connexion sécurisée au compte de stockage choisi pour ces tâches.

Azure Cache pour Redis prend en charge les deux types d’identité managée :

  • L’identité affectée par le système, qui est propre à la ressource. Dans ce cas, le cache est la ressource. Lorsque le cache est supprimé, l’identité est également supprimée.

  • L’identité affectée par l’utilisateur, qui est propre à un utilisateur, et non à la ressource. Elle peut être affectée à n’importe quelle ressource qui prend en charge l’identité managée et est conservée même lorsque vous supprimez le cache.

Chaque type d’identité managée présente des avantages, mais dans Azure Cache pour Redis, les fonctionnalités sont identiques.

Activer une identité managée

L’identité managée peut être activée au moment de la création d’une instance de cache ou après la création du cache. Durant la création d’un cache, seule une identité affectée par le système peut être attribuée. Il est possible d’attribuer l’un ou l’autre des deux types d’identité à un cache existant.

Étendue de la disponibilité

Niveau De base, Standard Premium Enterprise, Enterprise Flash
Disponible Non Oui Non

Conditions préalables et limitations

L’identité managée pour le stockage est utilisée uniquement avec la fonctionnalité d’importation/exportation et la fonctionnalité de persistance maintenant, ce qui limite son utilisation au niveau Premium d’Azure Cache pour Redis.

L’identité managée pour le stockage n’est pas prise en charge sur les caches qui ont une dépendance sur Azure Cloud Services (classique). Si vous souhaitez en savoir plus sur la façon de vérifier si votre cache utilise Azure Cloud Services (classique), veuillez consulter la rubrique Comment faire pour savoir si un cache est affecté ?.

Créer un cache avec une identité managée à l’aide du portail

  1. Connectez-vous au portail Azure.

  2. Créez une ressource Azure Cache pour Redis en choisissant l’un des niveaux Premium comme type de cache. Renseignez l’onglet Informations de base avec les informations requises.

    Capture d’écran montrant comment créer un cache Premium.

  3. Sélectionnez l’onglet Avancé. Ensuite, faites défiler vers le bas jusqu’à Identité managée affectée par le système et sélectionnez Activé.

    Capture d’écran montrant la page Avancé du formulaire.

  4. Terminez le processus de création. Une fois le cache créé et déployé, ouvrez-le, puis sélectionnez l’onglet Identité sous la section Paramètres à gauche. Vous voyez qu’un ID d’objet affecté par le système a été affecté à l'identité du cache.

    Capture d’écran montrant Identité dans le menu Ressource.

Ajouter l’identité affectée par le système à un cache existant

  1. Accédez à votre ressource Azure Cache pour Redis à partir du portail Azure. Sélectionnez Identité dans le menu Ressource à gauche.

  2. Pour activer une identité affectée par le système, sélectionnez l’onglet Affectée par le système, puis sélectionnez Activée sous État. Sélectionnez Enregistrer pour confirmer.

    Capture d’écran montrant Affectée par le système sélectionné et État défini sur Activé.

  3. Une boîte de dialogue s’affiche, indiquant que votre cache va être inscrit auprès de Microsoft Entra ID et qu’il peut recevoir certaines autorisations d’accès aux ressources protégées par Microsoft Entra ID. Sélectionnez Oui. Capture d’écran de l’écran demandant si vous voulez activer une identité managée.

  4. Vous voyez un ID d’objet (de principal) qui indique que l’identité a été affectée.

    Capture d’écran montrant l’ID (principal) d’objet.

Ajouter une identité affectée par l’utilisateur à un cache existant

  1. Accédez à votre ressource Azure Cache pour Redis à partir du portail Azure. Sélectionnez Identité dans le menu Ressource à gauche.

  2. Pour activer l’identité affectée par l’utilisateur, sélectionnez l’onglet Affectée par l’utilisateur, puis sélectionnez Ajouter.

    L’état de l’identité affectée par l’utilisateur est Activé.

  3. Une barre latérale s’affiche pour vous permettre de sélectionner une identité affectée par l’utilisateur pour votre abonnement. Choisissez une identité et sélectionnez Ajouter. Pour plus d’informations sur les identités managées affectées par l’utilisateur, consultez Gérer une identité affectée par l’utilisateur.

    Notes

    Vous devez créer une identité managée par l’utilisateur préalablement à cette étape.

    Capture d’écran montrant une identité managée affectée par l’utilisateur.

  4. Vous voyez l’identité affectée par l’utilisateur dans le volet Affecté par l’utilisateur.

    Capture d’écran montrant une liste de noms, de groupes de ressources et d’abonnements.

Activer une identité managée à l’aide d’Azure CLI

Utilisez Azure CLI pour créer un cache avec une identité managée ou pour mettre à jour un cache existant afin qu’il utilise une identité managée. Pour plus d’informations, consultez la documentation sur az redis create ou az redis identity.

Par exemple, pour mettre à jour un cache afin qu’il utilise l’identité managée par le système, utilisez la commande CLI suivante :


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Activer l’identité managée à l’aide d’Azure PowerShell

Utilisez Azure PowerShell pour créer un cache avec une identité managée ou pour mettre à jour un cache existant afin qu’il utilise une identité managée. Pour plus d’informations, consultez la documentation sur New-AzRedisCache ou Set-AzRedisCache.

Par exemple, pour mettre à jour un cache afin qu’il utilise l’identité managée par le système, utilisez la commande PowerShell suivante :

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurer un compte de stockage pour utiliser l’identité managée

Important

L’identité managée doit être configurée dans le compte de stockage afin de permettre à Azure Cache pour Redis d’accéder aux fonctionnalités de persistance ou d’importation/exportation du compte. Si cette étape n’est pas effectuée correctement, des erreurs se produisent ou aucune donnée n’est écrite.

  1. Créez un compte de stockage ou ouvrez un compte de stockage existant que vous souhaitez connecter à votre instance de cache.

  2. Ouvrez Contrôle d’accès (IAM) à partir du menu Ressource. Sélectionnez ensuite Ajouter et Ajouter une attribution de rôle.

    Capture d’écran montrant les paramètres du Contrôle d’accès (IAM).

  3. Recherchez Contributeur aux données Blob du stockage dans le panneau Rôle. Sélectionnez le rôle et sélectionnez Suivant.

    Capture d’écran montrant le formulaire Ajouter une attribution de rôle avec une liste de rôles.

  4. Sélectionnez l’onglet Membres. Sous Affecter l’accès à, sélectionnez Identité managée et sélectionnez Sélectionner les membres. Une barre latérale s’affiche en regard du volet de travail.

    Capture d’écran montrant le formulaire Ajouter une attribution de rôle avec le volet Membres.

  5. Utilisez la zone déroulante sous Identité managée pour choisir une identité managée affectée par l’utilisateur ou une identité managée affectée le système. Si vous avez de nombreuses identités managées, vous pouvez effectuer une recherche par nom. Choisissez les identités managées souhaitées, puis choisissez Sélectionner. Sélectionnez Vérifier + attribuer pour terminer.

    Capture d’écran montrant le formulaire Identité managée indiquant « Identité managée affectée par l’utilisateur ».

  6. Vous pouvez vérifier si l’identité a été correctement affectée en vérifiant les attributions de rôle de votre compte de stockage sous Contributeur aux données Blob du stockage.

    Capture d’écran de la liste Contributeur aux données Blob du stockage.

Notes

Pour que l’exportation fonctionne avec un compte de stockage comportant des exceptions de pare-feu, vous devez :

Si, au lieu d’utiliser une identité managée, vous autorisez un compte de stockage avec une clé, le fait d’avoir des exceptions de pare-feu sur le compte de stockage interrompt le processus de persistance et les processus d’importation-exportation.

Utiliser l’identité managée pour accéder à un compte de stockage

Utiliser l’identité managée avec la persistance des données

  1. Ouvrez l’instance Azure Cache pour Redis qui a reçu le rôle Contributeur aux données Blob du stockage et accédez à la fonctionnalité Persistance des données dans le menu Ressource.

  2. Changez la Méthode d’authentification en Identité managée, puis sélectionnez le compte de stockage que vous avez configuré précédemment dans cet article. Sélectionnez Enregistrer.

    Capture d’écran montrant le volet de persistance des données, avec la méthode d’authentification sélectionnée.

    Important

    L’identité est définie par défaut sur l’identité affectée par le système si celle-ci est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.

  3. Les sauvegardes de persistance des données peuvent maintenant être enregistrées dans le compte de stockage en utilisant l’authentification par une identité managée.

    Capture d’écran montrant Exporter des données dans le menu Ressource.

Utiliser l’identité managée pour importer et exporter les données du cache

  1. Ouvrez l’instance Azure Cache pour Redis qui a reçu le rôle Contributeur aux données Blob du stockage et accédez à l’onglet Importer ou Exporter sous Administration.

  2. Si vous importez des données, choisissez l’emplacement du stockage Blob qui contient le fichier RDB que vous avez choisi. Si vous exportez des données, tapez le préfixe de nom et le conteneur de stockage d’objets Blob souhaités. Dans les deux cas, vous devez utiliser le compte de stockage que vous avez configuré pour l’accès à l’identité managée.

    Capture d’écran montrant Identité managée sélectionné.

  3. Sous Méthode d’authentification, choisissez Identité managée, puis sélectionnez Importer ou Exporter, respectivement.

Notes

L’importation ou l’exportation des données peut prendre plusieurs minutes.

Important

Si vous constatez l’échec de l’exportation ou de l’importation, vérifiez de nouveau que votre compte de stockage a été configuré avec l’identité affectée par le système ou par l’utilisateur de votre cache. L’identité utilisée est définie par défaut sur l’identité affectée par le système si celle-ci est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.

Contenu connexe