Partager via

Identité managée pour les comptes de stockage

  • S’applique à: ✅ Azure Cache for Redis

Une identité managée aide les services Azure à se connecter les uns aux autres en rendant l’authentification plus rationalisée et sécurisée. Au lieu de gérer l’autorisation entre les services, une identité managée utilise l’ID Microsoft Entra pour fournir l’authentification. Cet article explique comment utiliser l’identité managée pour connecter des caches Azure Cache pour Redis aux comptes de stockage Azure.

Une identité managée vous permet de simplifier le processus de connexion sécurisée à un compte de stockage Azure pour les scénarios Azure Redis suivants :

Notes

Seules les fonctionnalités de persistance des données Azure Redis et d’importation-exportation utilisent l’identité managée. Ces fonctionnalités sont disponibles uniquement dans le niveau Premium Azure Redis. L’identité managée est donc disponible uniquement dans le niveau Premium d’Azure Redis.

Azure Cache pour Redis prend en charge les identités managées affectées par le système et affectées par l’utilisateur . Chaque type d’identité managée présente des avantages, mais la fonctionnalité est la même dans Le Cache Azure pour Redis.

  • L’identité affectée par le système est spécifique à la ressource de cache. Si le cache est supprimé, l’identité est supprimée.
  • L’identité affectée par l’utilisateur est spécifique à un utilisateur. Vous pouvez affecter cette identité à n’importe quelle ressource, telle qu’un compte de stockage, qui prend en charge l’identité managée. Cette affectation reste même si vous supprimez la ressource de cache spécifique.

La configuration de l’identité managée pour la persistance des données Azure Redis Premium ou les fonctionnalités d’importation-exportation se compose de plusieurs parties :

Toutes les parties doivent être effectuées correctement avant que la persistance des données ou l’importation-exportation de Redis Azure puisse accéder au compte de stockage. Sinon, vous voyez des erreurs ou qu’aucune donnée n’est écrite.

Étendue de la disponibilité

Niveau De base, Standard Haute qualité Enterprise, Enterprise Flash
Disponible Oui Oui Non

Conditions préalables

  • Possibilité de créer et de configurer un cache Redis Azure de niveau Premium et un compte de stockage Azure dans un abonnement Azure.
  • Pour assigner une identité managée assignée par l’utilisateur : une identité managée créée dans le même abonnement Azure que le cache Redis Azure et le compte de stockage.

Activer une identité managée

Vous pouvez activer l’identité managée pour votre cache Redis Azure à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell. Vous pouvez activer l’identité managée lorsque vous créez une instance de cache ou par la suite.

Activer l’identité managée dans le portail Azure

Lors de la création du cache, vous pouvez affecter uniquement une identité managée affectée par le système. Vous pouvez ajouter une identité affectée par le système ou affectée par l’utilisateur à un cache existant.

Créer un cache avec une identité managée

  1. Dans le portail Azure, choisissez de créer un cache Azure pour Redis. Sous l’onglet Informations de base , sélectionnez Premium pour la référence SKU cache, puis renseignez le reste des informations requises.

    Capture d’écran de la création d’un cache Premium.

  2. Sélectionnez l’onglet Avancé , puis, sous Identité managée affectée par le système, définissez Étatsur Activé.

    Capture d’écran montrant l'activation de l'identité gérée par le système sur Activé.

  3. Terminez le processus de création du cache.

  4. Une fois le cache déployé, accédez à la page cache et sélectionnez Identité sous Paramètres dans le menu de navigation de gauche. Vérifiez qu’un ID d’objet (principal) apparaît sous l’onglet Affecté par le système de la page Identité .

    Capture d’écran montrant l’identité dans le menu Ressource.

Ajouter une identité affectée par le système à un cache existant

  1. Dans la page du portail Azure pour votre cache Azure Redis Premium, sélectionnez Identité sous Paramètres dans le menu de navigation de gauche.

  2. Sous l'onglet Affectation par le système, réglez l'état sur Activé, puis sélectionnez Enregistrer.

    Capture d’écran montrant Affectée par le système sélectionné et État activé.

  3. Répondez Oui à l’invite Activer l’identité managée affectée par le système .

  4. Une fois l’identité affectée, vérifiez qu’un ID d’objet (principal) s’affiche sous l’onglet Affecté par le système de la page Identité .

    Capture d’écran montrant l’ID d’objet (principal).

Ajouter une identité affectée par l’utilisateur à un cache existant

  1. Dans la page du portail Azure pour votre cache Azure Redis Premium, sélectionnez Identité sous Paramètres dans le menu de navigation de gauche.

  2. Sélectionnez l’onglet Utilisateur affecté , puis sélectionnez Ajouter.

    Le statut de l'identité assignée à l'utilisateur est activé.

  3. Dans l’écran Ajouter une identité managée affectée par l’utilisateur , sélectionnez une identité managée à partir de votre abonnement, puis sélectionnez Ajouter. Pour plus d’informations sur les identités managées affectées par l’utilisateur, consultez gérer l’identité affectée par l’utilisateur.

    Capture d’écran montrant une identité managée affectée par l’utilisateur.

  4. Une fois l’identité affectée par l’utilisateur ajoutée, vérifiez qu’elle apparaît sous l’onglet Utilisateur affecté de la page Identité .

    Capture d’écran montrant l’identité assignée par l’utilisateur sur la page Identité.

Activer l’identité managée à l’aide d’Azure CLI

Vous pouvez utiliser Azure CLI pour créer un cache avec une identité managée à l’aide d’az redis create. Vous pouvez mettre à jour un cache existant pour utiliser l’identité managée à l’aide de l’identité az redis.

Par exemple, pour mettre à jour un cache pour utiliser une identité managée par le système, utilisez la commande Azure CLI suivante :


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Activer l’identité managée à l’aide d’Azure PowerShell

Vous pouvez utiliser Azure PowerShell pour créer un cache avec une identité managée à l’aide de New-AzRedisCache. Vous pouvez mettre à jour un cache existant pour utiliser l’identité managée à l’aide de Set-AzRedisCache.

Par exemple, pour mettre à jour un cache pour utiliser l’identité managée par le système, utilisez la commande Azure PowerShell suivante :

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurer le compte de stockage pour utiliser l’identité managée

  1. Dans le portail Azure, créez un compte de stockage ou ouvrez un compte de stockage existant que vous souhaitez connecter à votre instance de cache.

  2. Sélectionnez Contrôle d’accès (IAM) dans le menu de navigation de gauche.

  3. Dans la page Contrôle d’accès (IAM), sélectionnez Ajouter une>attribution de rôle.

    Capture d’écran montrant les paramètres de contrôle d’accès (IAM).

  4. Sous l’onglet Rôle de la page Ajouter une attribution de rôle , recherchez et sélectionnez Contributeur aux données Blob de stockage, puis sélectionnez Suivant.

    Capture d’écran montrant l’ajout d’un formulaire d’attribution de rôle avec la liste des rôles.

  5. Sous l’onglet Membres , pour Affecter l’accès, sélectionnez Identité managée, puis sélectionnez Sélectionner des membres.

    Capture d’écran montrant l’ajout d’un formulaire d’attribution de rôle avec le volet Membres.

  6. Dans le volet Sélectionner des identités managées , sélectionnez la flèche déroulante sous Identité managée pour afficher toutes vos identités managées affectées par l’utilisateur et affectées par le système disponibles. Si vous avez de nombreuses identités managées, vous pouvez rechercher celle souhaitée. Choisissez les identités managées souhaitées, puis sélectionnez Sélectionner.

    Capture d’écran montrant le volet Sélectionner des identités managées.

  7. Dans la page Ajouter une attribution de rôle , sélectionnez Vérifier + affecter, puis Révisez + attribuer pour confirmer.

    Capture d’écran montrant le formulaire Identité managée avec des identités managées affectées.

  8. Dans la page Contrôle d’accès (IAM) du compte de stockage, sélectionnez Afficher sous Afficher l’accès à cette ressource, puis recherchez Contributeur aux données blob de stockage sous l’onglet Attributions de rôles pour vérifier que les identités managées sont ajoutées.

    Capture d’écran de la liste Contributeurs aux données Blob du stockage.

Important

Pour que l’exportation fonctionne avec un compte de stockage avec des exceptions de pare-feu, vous devez :

Si vous n’utilisez pas d’identité managée et que vous autorisez plutôt un compte de stockage avec une clé, la présence d’exceptions de pare-feu sur le compte de stockage interrompt le processus de persistance et les processus d’importation-exportation.

Utiliser l’identité managée avec la persistance des données

  1. Dans la page du portail Azure pour votre cache Azure Redis Premium qui a le rôle Contributeur aux données blob de stockage , sélectionnez Persistance des données sous Paramètres dans le menu de navigation de gauche.

  2. Vérifiez que la méthode d’authentification est définie sur Identité managée.

    Important

    La sélection correspond par défaut à l’identité affectée par le système si elle est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.

  3. Sous Compte de stockage, sélectionnez le compte de stockage que vous avez configuré pour utiliser l’identité managée, s’il n’est pas déjà sélectionné, puis sélectionnez Enregistrer si nécessaire.

    Capture d’écran montrant le volet persistance des données avec la méthode d’authentification sélectionnée.

Vous pouvez désormais enregistrer les sauvegardes de persistance des données dans le compte de stockage à l’aide de l’authentification d’identité managée.

Utiliser l’identité managée pour importer et exporter les données du cache

  1. Dans la page du portail Azure pour votre cache Azure Redis Premium qui a le rôle Contributeur aux données Blob de stockage , sélectionnez Importer des données ou Exporter des données sous Administration dans le menu de navigation de gauche.

  2. Dans l’écran Importer des données ou exporter des données , sélectionnez Identité managée pour la méthode d’authentification.

  3. Pour importer des données, dans l’écran Importer des données , sélectionnez Choisir des objets blob en regard des fichiers RDB. Sélectionnez votre ou vos fichiers RDB (Redis Database) dans l’emplacement de stockage d’objets blob, puis sélectionnez Sélectionner.

  4. Pour exporter des données, dans l’écran Exporter des données, entrez un préfixe de nom d’objet blob, puis sélectionnez Choisir un conteneur de stockage à côté d'Exporter la sortie. Sélectionnez ou créez un conteneur pour contenir les données exportées, puis sélectionnez Sélectionner.

    Capture d’écran montrant l’identité managée sélectionnée.

  5. Dans l’écran Importer des données ou Exporter des données , sélectionnez Importer ou Exporter respectivement.

    Notes

    L’importation ou l’exportation des données prend quelques minutes.

Important

Si vous constatez l’échec de l’exportation ou de l’importation, vérifiez de nouveau que votre compte de stockage a été configuré avec l’identité affectée par le système ou par l’utilisateur de votre cache. Par défaut, l'identité utilisée est celle affectée par le système si elle est activée. Sinon, c’est la première identité affectée par le système de la liste qui est utilisée.

Contenu connexe