Beheerde identiteit voor opslag
Beheerde identiteiten zijn een veelgebruikt hulpprogramma dat wordt gebruikt in Azure om ontwikkelaars te helpen bij het minimaliseren van het beheer van geheimen en aanmeldingsgegevens. Beheerde identiteiten zijn handig wanneer Azure-services verbinding maken met elkaar. In plaats van autorisatie tussen elke service te beheren, kan Microsoft Entra-id worden gebruikt om een beheerde identiteit te bieden die het verificatieproces gestroomlijnder en veiliger maakt.
Beheerde identiteit gebruiken met opslagaccounts
Op dit moment kan Azure Cache voor Redis een beheerde identiteit gebruiken om verbinding te maken met een opslagaccount, handig in twee scenario's:
Geplande back-ups van gegevens in uw cache via een RDB- of AOF-bestand.
Momentopnamen van cachegegevens importeren of exporteren of gegevens importeren uit een opgeslagen bestand.
Met beheerde identiteit kunt u het proces voor het veilig verbinden met uw gekozen opslagaccount voor deze taken vereenvoudigen.
Azure Cache voor Redis ondersteunt beide typen beheerde identiteiten:
Door het systeem toegewezen identiteit is specifiek voor de resource. In dit geval is de cache de resource. Wanneer de cache wordt verwijderd, wordt de identiteit verwijderd.
Door de gebruiker toegewezen identiteit is specifiek voor een gebruiker, niet voor de resource. Deze kan worden toegewezen aan elke resource die beheerde identiteit ondersteunt en blijft zelfs wanneer u de cache verwijdert.
Elk type beheerde identiteit heeft voordelen, maar in Azure Cache voor Redis is de functionaliteit hetzelfde.
Beheerde identiteit inschakelen
Beheerde identiteit kan worden ingeschakeld wanneer u een cache-exemplaar maakt of nadat de cache is gemaakt. Tijdens het maken van een cache kan alleen een door het systeem toegewezen identiteit worden toegewezen. Elk identiteitstype kan worden toegevoegd aan een bestaande cache.
Bereik van beschikbaarheid
| Laag | Basic, Standard | Premium | Enterprise, Enterprise Flash |
|---|---|---|---|
| Beschikbaar | Nr. | Ja | Nr. |
Vereisten en beperkingen
Beheerde identiteit voor opslag wordt nu alleen gebruikt met de functie import/export en persistentie, waardoor het gebruik wordt beperkt tot de Premium-laag van Azure Cache voor Redis.
Beheerde identiteit voor opslag wordt niet ondersteund in caches die afhankelijk zijn van Cloud Services (klassiek). Zie Hoe kan ik weten of een cache van invloed is op de cache voor meer informatie over het controleren of uw cache gebruikmaakt van Cloud Services (klassiek).
Een nieuwe cache met beheerde identiteit maken met behulp van de portal
Meld u aan bij het Azure-portaal.
Maak een nieuwe Azure Cache voor Redis-resource met een cachetype van een van de Premium-lagen. Het tabblad Basisinformatie voltooien met alle vereiste informatie.
Selecteer het tabblad Geavanceerd . Schuif vervolgens omlaag naar door het systeem toegewezen beheerde identiteit en selecteer Aan.
Voltooi het aanmaakproces. Zodra de cache is gemaakt en geïmplementeerd, opent u deze en selecteert u het tabblad Identiteit onder de sectie Instellingen aan de linkerkant. U ziet dat er een door het systeem toegewezen object-id is toegewezen aan de cacheidentiteit.
Door het systeem toegewezen identiteit toevoegen aan een bestaande cache
Navigeer vanuit Azure Portal naar uw Azure Cache voor Redis-resource. Selecteer Identiteit in het menu Resource aan de linkerkant.
Als u een door het systeem toegewezen identiteit wilt inschakelen, selecteert u het tabblad Systeem toegewezen en selecteert u Aan onder Status. Selecteer Opslaan om te bevestigen.
Er verschijnt een dialoogvenster met de mededeling dat uw cache wordt geregistreerd bij Microsoft Entra-id en dat deze machtigingen kan krijgen voor toegang tot resources die zijn beveiligd door Microsoft Entra ID. Selecteer Ja.
U ziet een object-id (principal) die aangeeft dat de identiteit is toegewezen.
Een door de gebruiker toegewezen identiteit toevoegen aan een bestaande cache
Navigeer vanuit Azure Portal naar uw Azure Cache voor Redis-resource. Selecteer Identiteit in het menu Resource aan de linkerkant.
Als u door de gebruiker toegewezen identiteit wilt inschakelen, selecteert u het tabblad Door de gebruiker toegewezen en selecteert u Toevoegen.
Er wordt een zijbalk weergegeven zodat u een door de gebruiker toegewezen identiteit kunt selecteren voor uw abonnement. Kies een identiteit en selecteer Toevoegen. Zie De door de gebruiker toegewezen identiteiten beheren voor meer informatie over door de gebruiker toegewezen beheerde identiteiten.
Notitie
U moet voorafgaand aan deze stap een door de gebruiker toegewezen identiteit maken.
U ziet de door de gebruiker toegewezen identiteit in het deelvenster Door de gebruiker toegewezen identiteit.
Beheerde identiteit inschakelen met behulp van de Azure CLI
Gebruik de Azure CLI voor het maken van een nieuwe cache met beheerde identiteit of het bijwerken van een bestaande cache om een beheerde identiteit te gebruiken. Zie az redis create of az redis identity voor meer informatie.
Als u bijvoorbeeld een cache wilt bijwerken voor het gebruik van door het systeem beheerde identiteit, gebruikt u de volgende CLI-opdracht:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Beheerde identiteit inschakelen met Behulp van Azure PowerShell
Gebruik Azure PowerShell voor het maken van een nieuwe cache met beheerde identiteit of het bijwerken van een bestaande cache om een beheerde identiteit te gebruiken. Zie New-AzRedisCache of Set-AzRedisCache voor meer informatie.
Als u bijvoorbeeld een cache wilt bijwerken om een door het systeem beheerde identiteit te gebruiken, gebruikt u de volgende PowerShell-opdracht:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Opslagaccount configureren voor het gebruik van een beheerde identiteit
Belangrijk
Beheerde identiteit moet worden geconfigureerd in het opslagaccount voordat Azure Cache voor Redis toegang heeft tot het account voor persistentie of import-/exportfunctionaliteit. Als deze stap niet correct wordt uitgevoerd, ziet u fouten of geen gegevens die zijn geschreven.
Maak een nieuw opslagaccount of open een bestaand opslagaccount dat u wilt verbinden met uw cache-exemplaar.
Open het toegangsbeheer (IAM) in het menu Resource. Selecteer vervolgens Toevoegen en roltoewijzing toevoegen.
Zoek in het deelvenster Rol naar de bijdrager voor opslagblobgegevens. Selecteer deze en Volgende.
Selecteer het tabblad Leden. Selecteer onder Toegang toewijzen om Beheerde identiteit te selecteren en selecteer leden selecteren. Er verschijnt een zijbalk naast het werkvenster.
Gebruik de vervolgkeuzelijst onder Beheerde identiteit om een door de gebruiker toegewezen beheerde identiteit of een door het systeem toegewezen beheerde identiteit te kiezen. Als u veel beheerde identiteiten hebt, kunt u zoeken op naam. Kies de gewenste beheerde identiteiten en selecteer vervolgens. Controleer vervolgens en wijs deze toe om te bevestigen.
U kunt controleren of de identiteit is toegewezen door de roltoewijzingen van uw opslagaccount te controleren onder Inzender voor opslagblobgegevens.
Notitie
Als u wilt exporteren met een opslagaccount met firewall-uitzonderingen, moet u het volgende doen:
- een Azure Cache voor Redis-exemplaar toevoegen als inzender voor opslagblobgegevens via door het systeem toegewezen identiteit, en
- schakel Azure-services in de lijst met vertrouwde services toegang tot dit opslagaccount in.
Als u geen beheerde identiteit gebruikt en in plaats daarvan een opslagaccount met een sleutel autoriseert, worden firewall-uitzonderingen op het opslagaccount het persistentieproces en de import-exportprocessen verbroken.
Beheerde identiteit gebruiken voor toegang tot een opslagaccount
Beheerde identiteit gebruiken met gegevenspersistentie
Open het Azure Cache voor Redis exemplaar waaraan de rol Inzender voor opslagblobgegevens is toegewezen en ga naar de gegevenspersistentie in het menu Resource.
Wijzig de verificatiemethode in Beheerde identiteit en selecteer het opslagaccount dat u eerder in het artikel hebt geconfigureerd. selecteer Opslaan.
Belangrijk
De identiteit wordt standaard ingesteld op de door het systeem toegewezen identiteit als deze is ingeschakeld. Anders wordt de eerste door de gebruiker toegewezen identiteit gebruikt.
Back-ups van gegevenspersistentie kunnen nu worden opgeslagen in het opslagaccount met behulp van verificatie van beheerde identiteiten.
Beheerde identiteit gebruiken om cachegegevens te importeren en exporteren
Open uw Azure Cache voor Redis exemplaar waaraan de rol Inzender voor opslagblobgegevens is toegewezen en ga naar het tabblad Importeren of Exporteren onder Beheer istratie.
Als u gegevens importeert, kiest u de blobopslaglocatie met het gekozen RDB-bestand. Als u gegevens exporteert, typt u het gewenste voorvoegsel van de blobnaam en de opslagcontainer. In beide situaties moet u het opslagaccount gebruiken dat u hebt geconfigureerd voor toegang tot beheerde identiteiten.
Kies onder Verificatiemethode respectievelijk Beheerde identiteit en selecteer Importeren of Exporteren.
Notitie
Het importeren of exporteren van de gegevens duurt enkele minuten.
Belangrijk
Als u een export- of importfout ziet, controleert u of uw opslagaccount is geconfigureerd met de door het systeem toegewezen of door de gebruiker toegewezen identiteit van uw cache. De gebruikte identiteit wordt standaard ingesteld op door het systeem toegewezen identiteit als deze is ingeschakeld. Anders wordt de eerste door de gebruiker toegewezen identiteit gebruikt.
Gerelateerde inhoud
- Meer informatie over Azure Cache voor Redis functies
- Wat worden er beheerd identificeert