Identité managée pour le stockage
Les identités managées sont souvent utilisées dans Azure, car elles aident les développeurs à réduire leur charge de travail liée à la gestion des secrets et des informations d’identification. Les identités managées sont utiles lorsque les services Azure sont connectés entre eux. Au lieu de gérer l’autorisation entre chaque service, Microsoft Entra ID peut être utilisé pour fournir une identité managée qui simplifie et sécurise le processus d’authentification.
Utiliser l’identité managée avec des comptes de stockage
Actuellement, Azure Cache pour Redis peut utiliser une identité managée pour se connecter à un compte de stockage, ce qui est utile dans deux scénarios :
Persistance des données : sauvegardes planifiées des données de votre cache via un fichier RDB ou AOF.
Importer ou exporter : enregistrement d’instantanés des données du cache ou importation de données d’un fichier enregistré.
L’identité managée vous permet de simplifier le processus de connexion sécurisée au compte de stockage choisi pour ces tâches.
Azure Cache pour Redis prend en charge les deux types d’identité managée :
L’identité affectée par le système, qui est propre à la ressource. Dans ce cas, le cache est la ressource. Lorsque le cache est supprimé, l’identité est également supprimée.
L’identité affectée par l’utilisateur, qui est propre à un utilisateur, et non à la ressource. Elle peut être affectée à n’importe quelle ressource qui prend en charge l’identité managée et est conservée même lorsque vous supprimez le cache.
Chaque type d’identité managée présente des avantages, mais dans Azure Cache pour Redis, les fonctionnalités sont identiques.
Activer une identité managée
L’identité managée peut être activée au moment de la création d’une instance de cache ou après la création du cache. Durant la création d’un cache, seule une identité affectée par le système peut être attribuée. Il est possible d’attribuer l’un ou l’autre des deux types d’identité à un cache existant.
Étendue de la disponibilité
Niveau | De base, Standard | Premium | Enterprise, Enterprise Flash |
---|---|---|---|
Disponible | Non | Oui | Non |
Conditions préalables et limitations
L’identité managée pour le stockage est utilisée uniquement avec la fonctionnalité d’importation/exportation et la fonctionnalité de persistance maintenant, ce qui limite son utilisation au niveau Premium d’Azure Cache pour Redis.
L’identité managée pour le stockage n’est pas prise en charge sur les caches qui ont une dépendance sur Azure Cloud Services (classique). Si vous souhaitez en savoir plus sur la façon de vérifier si votre cache utilise Azure Cloud Services (classique), veuillez consulter la rubrique Comment faire pour savoir si un cache est affecté ?.
Créer un cache avec une identité managée à l’aide du portail
Connectez-vous au portail Azure.
Créez une ressource Azure Cache pour Redis en choisissant l’un des niveaux Premium comme type de cache. Renseignez l’onglet Informations de base avec les informations requises.
Sélectionnez l’onglet Avancé. Ensuite, faites défiler vers le bas jusqu’à Identité managée affectée par le système et sélectionnez Activé.
Terminez le processus de création. Une fois le cache créé et déployé, ouvrez-le, puis sélectionnez l’onglet Identité sous la section Paramètres à gauche. Vous voyez qu’un ID d’objet affecté par le système a été affecté à l'identité du cache.
Ajouter l’identité affectée par le système à un cache existant
Accédez à votre ressource Azure Cache pour Redis à partir du portail Azure. Sélectionnez Identité dans le menu Ressource à gauche.
Pour activer une identité affectée par le système, sélectionnez l’onglet Affectée par le système, puis sélectionnez Activée sous État. Sélectionnez Enregistrer pour confirmer.
Une boîte de dialogue s’affiche, indiquant que votre cache va être inscrit auprès de Microsoft Entra ID et qu’il peut recevoir certaines autorisations d’accès aux ressources protégées par Microsoft Entra ID. Sélectionnez Oui.
Vous voyez un ID d’objet (de principal) qui indique que l’identité a été affectée.
Ajouter une identité affectée par l’utilisateur à un cache existant
Accédez à votre ressource Azure Cache pour Redis à partir du portail Azure. Sélectionnez Identité dans le menu Ressource à gauche.
Pour activer l’identité affectée par l’utilisateur, sélectionnez l’onglet Affectée par l’utilisateur, puis sélectionnez Ajouter.
Une barre latérale s’affiche pour vous permettre de sélectionner une identité affectée par l’utilisateur pour votre abonnement. Choisissez une identité et sélectionnez Ajouter. Pour plus d’informations sur les identités managées affectées par l’utilisateur, consultez Gérer une identité affectée par l’utilisateur.
Notes
Vous devez créer une identité managée par l’utilisateur préalablement à cette étape.
Vous voyez l’identité affectée par l’utilisateur dans le volet Affecté par l’utilisateur.
Activer une identité managée à l’aide d’Azure CLI
Utilisez Azure CLI pour créer un cache avec une identité managée ou pour mettre à jour un cache existant afin qu’il utilise une identité managée. Pour plus d’informations, consultez la documentation sur az redis create ou az redis identity.
Par exemple, pour mettre à jour un cache afin qu’il utilise l’identité managée par le système, utilisez la commande CLI suivante :
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Activer l’identité managée à l’aide d’Azure PowerShell
Utilisez Azure PowerShell pour créer un cache avec une identité managée ou pour mettre à jour un cache existant afin qu’il utilise une identité managée. Pour plus d’informations, consultez la documentation sur New-AzRedisCache ou Set-AzRedisCache.
Par exemple, pour mettre à jour un cache afin qu’il utilise l’identité managée par le système, utilisez la commande PowerShell suivante :
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Configurer un compte de stockage pour utiliser l’identité managée
Important
L’identité managée doit être configurée dans le compte de stockage afin de permettre à Azure Cache pour Redis d’accéder aux fonctionnalités de persistance ou d’importation/exportation du compte. Si cette étape n’est pas effectuée correctement, des erreurs se produisent ou aucune donnée n’est écrite.
Créez un compte de stockage ou ouvrez un compte de stockage existant que vous souhaitez connecter à votre instance de cache.
Ouvrez Contrôle d’accès (IAM) à partir du menu Ressource. Sélectionnez ensuite Ajouter et Ajouter une attribution de rôle.
Recherchez Contributeur aux données Blob du stockage dans le panneau Rôle. Sélectionnez le rôle et sélectionnez Suivant.
Sélectionnez l’onglet Membres. Sous Affecter l’accès à, sélectionnez Identité managée et sélectionnez Sélectionner les membres. Une barre latérale s’affiche en regard du volet de travail.
Utilisez la zone déroulante sous Identité managée pour choisir une identité managée affectée par l’utilisateur ou une identité managée affectée le système. Si vous avez de nombreuses identités managées, vous pouvez effectuer une recherche par nom. Choisissez les identités managées souhaitées, puis choisissez Sélectionner. Sélectionnez Vérifier + attribuer pour terminer.
Vous pouvez vérifier si l’identité a été correctement affectée en vérifiant les attributions de rôle de votre compte de stockage sous Contributeur aux données Blob du stockage.
Notes
Pour que l’exportation fonctionne avec un compte de stockage comportant des exceptions de pare-feu, vous devez :
- ajouter une instance Azure Cache pour Redis en tant que contributeur aux données blob de stockage via l’identité affectée par le système, puis
- cocher Autorisez les services Azure figurant dans la liste des services approuvés à accéder à ce compte de stockage.
Si, au lieu d’utiliser une identité managée, vous autorisez un compte de stockage avec une clé, le fait d’avoir des exceptions de pare-feu sur le compte de stockage interrompt le processus de persistance et les processus d’importation-exportation.
Utiliser l’identité managée pour accéder à un compte de stockage
Utiliser l’identité managée avec la persistance des données
Ouvrez l’instance Azure Cache pour Redis qui a reçu le rôle Contributeur aux données Blob du stockage et accédez à la fonctionnalité Persistance des données dans le menu Ressource.
Changez la Méthode d’authentification en Identité managée, puis sélectionnez le compte de stockage que vous avez configuré précédemment dans cet article. Sélectionnez Enregistrer.
Important
L’identité est définie par défaut sur l’identité affectée par le système si celle-ci est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.
Les sauvegardes de persistance des données peuvent maintenant être enregistrées dans le compte de stockage en utilisant l’authentification par une identité managée.
Utiliser l’identité managée pour importer et exporter les données du cache
Ouvrez l’instance Azure Cache pour Redis qui a reçu le rôle Contributeur aux données Blob du stockage et accédez à l’onglet Importer ou Exporter sous Administration.
Si vous importez des données, choisissez l’emplacement du stockage Blob qui contient le fichier RDB que vous avez choisi. Si vous exportez des données, tapez le préfixe de nom et le conteneur de stockage d’objets Blob souhaités. Dans les deux cas, vous devez utiliser le compte de stockage que vous avez configuré pour l’accès à l’identité managée.
Sous Méthode d’authentification, choisissez Identité managée, puis sélectionnez Importer ou Exporter, respectivement.
Notes
L’importation ou l’exportation des données peut prendre plusieurs minutes.
Important
Si vous constatez l’échec de l’exportation ou de l’importation, vérifiez de nouveau que votre compte de stockage a été configuré avec l’identité affectée par le système ou par l’utilisateur de votre cache. L’identité utilisée est définie par défaut sur l’identité affectée par le système si celle-ci est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.
Contenu connexe
- En savoir plus sur les fonctionnalités d’Azure Cache pour Redis
- Que sont les identités managées ?