Tożsamość zarządzana dla magazynu

  • Artykuł

Tożsamości zarządzane to typowe narzędzie używane na platformie Azure, które pomaga deweloperom zminimalizować obciążenie związane z zarządzaniem wpisami tajnymi i informacjami logowania. Tożsamości zarządzane są przydatne, gdy usługi platformy Azure łączą się ze sobą. Zamiast zarządzać autoryzacją między każdą usługą, identyfikator Entra firmy Microsoft może służyć do zapewnienia tożsamości zarządzanej, która sprawia, że proces uwierzytelniania jest bardziej usprawniony i bezpieczny.

Używanie tożsamości zarządzanej z kontami magazynu

Obecnie usługa Azure Cache for Redis może używać tożsamości zarządzanej do nawiązywania połączenia z kontem magazynu, co jest przydatne w dwóch scenariuszach:

  • Trwałość danych — zaplanowane kopie zapasowe danych w pamięci podręcznej za pośrednictwem pliku RDB lub AOF.

  • Importowanie lub eksportowanie migawek danych pamięci podręcznej lub importowanie danych z zapisanego pliku.

Tożsamość zarządzana pozwala uprościć proces bezpiecznego nawiązywania połączenia z wybranym kontem magazynu dla tych zadań.

Usługa Azure Cache for Redis obsługuje oba typy tożsamości zarządzanej:

  • Tożsamość przypisana przez system jest specyficzna dla zasobu. W takim przypadku pamięć podręczna jest zasobem. Po usunięciu pamięci podręcznej tożsamość zostanie usunięta.

  • Tożsamość przypisana przez użytkownika jest specyficzna dla użytkownika, a nie zasobu. Można go przypisać do dowolnego zasobu obsługującego tożsamość zarządzaną, a nawet po usunięciu pamięci podręcznej.

Każdy typ tożsamości zarządzanej ma zalety, ale w usłudze Azure Cache for Redis funkcjonalność jest taka sama.

Włączanie tożsamości zarządzanej

Tożsamość zarządzana można włączyć podczas tworzenia wystąpienia pamięci podręcznej lub po utworzeniu pamięci podręcznej. Podczas tworzenia pamięci podręcznej można przypisać tylko tożsamość przypisaną przez system. Do istniejącej pamięci podręcznej można dodać dowolny typ tożsamości.

Zakres dostępności

Warstwa Podstawowa, Standardowa Premium Enterprise, Enterprise Flash
Dostępny Nie. Tak Nie.

Wymagania wstępne i ograniczenia

Tożsamość zarządzana dla magazynu jest używana tylko z funkcją importowania/eksportowania i funkcją trwałości, która ogranicza jej użycie do warstwy Premium usługi Azure Cache for Redis.

Tożsamość zarządzana magazynu nie jest obsługiwana w pamięciach podręcznych, które mają zależność od usług Cloud Services (wersja klasyczna). Aby uzyskać więcej informacji na temat sprawdzania, czy pamięć podręczna korzysta z usług Cloud Services (wersja klasyczna), zobacz Jak mogę wiedzieć, czy ma to wpływ na pamięć podręczną?.

Tworzenie nowej pamięci podręcznej z tożsamością zarządzaną przy użyciu portalu

  1. Zaloguj się w witrynie Azure Portal.

  2. Utwórz nowy zasób usługi Azure Cache for Redis z typem pamięci podręcznej dowolnej z warstw Premium. Ukończ kartę Podstawowe ze wszystkimi wymaganymi informacjami.

    Zrzut ekranu przedstawiający sposób tworzenia pamięci podręcznej w warstwie Premium.

  3. Wybierz kartę Zaawansowane . Następnie przewiń w dół do pozycji Tożsamość zarządzana przypisana przez system i wybierz pozycję Włączone.

    Zrzut ekranu przedstawiający stronę Zaawansowane formularza.

  4. Ukończ proces tworzenia. Po utworzeniu i wdrożeniu pamięci podręcznej otwórz ją i wybierz kartę Tożsamość w sekcji Ustawienia po lewej stronie. Zobaczysz, że identyfikator obiektu przypisanego przez system został przypisany do tożsamości pamięci podręcznej.

    Zrzut ekranu przedstawiający pozycję Tożsamość w menu Zasób.

Dodawanie tożsamości przypisanej przez system do istniejącej pamięci podręcznej

  1. Przejdź do zasobu usługi Azure Cache for Redis z witryny Azure Portal. Wybierz pozycję Tożsamość z menu Zasób po lewej stronie.

  2. Aby włączyć tożsamość przypisaną przez system, wybierz kartę Przypisane przez system, a następnie wybierz pozycję Wł . w obszarze Stan. Wybierz pozycję Zapisz , aby potwierdzić.

    Zrzut ekranu przedstawiający wybraną pozycję Przypisane przez system i stan jest włączony.

  3. Zostanie wyświetlone okno dialogowe z informacją, że pamięć podręczna zostanie zarejestrowana przy użyciu identyfikatora Entra firmy Microsoft i że można mu udzielić uprawnień dostępu do zasobów chronionych przez identyfikator entra firmy Microsoft. Wybierz opcję Tak. Zrzut ekranu z pytaniem, czy chcesz włączyć tożsamość zarządzaną.

  4. Zostanie wyświetlony identyfikator obiektu (podmiot zabezpieczeń) wskazujący, że tożsamość została przypisana.

    Zrzut ekranu przedstawiający identyfikator obiektu (podmiotu zabezpieczeń).

Dodawanie tożsamości przypisanej przez użytkownika do istniejącej pamięci podręcznej

  1. Przejdź do zasobu usługi Azure Cache for Redis z witryny Azure Portal. Wybierz pozycję Tożsamość z menu Zasób po lewej stronie.

  2. Aby włączyć tożsamość przypisaną przez użytkownika, wybierz kartę Przypisane przez użytkownika i wybierz pozycję Dodaj.

    Stan tożsamości przypisanej przez użytkownika jest włączony.

  3. Zostanie wyświetlony pasek boczny, aby umożliwić wybranie dowolnej dostępnej tożsamości przypisanej przez użytkownika do subskrypcji. Wybierz tożsamość i wybierz pozycję Dodaj. Aby uzyskać więcej informacji na temat tożsamości zarządzanych przypisanych przez użytkownika, zobacz zarządzanie tożsamością przypisaną przez użytkownika.

    Uwaga

    Musisz utworzyć tożsamość przypisaną przez użytkownika przed wykonaniem tego kroku.

    Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez użytkownika.

  4. Zostanie wyświetlona tożsamość przypisana przez użytkownika w okienku Przypisane przez użytkownika.

    Zrzut ekranu przedstawiający listę nazw, grup zasobów i subskrypcji.

Włączanie tożsamości zarządzanej przy użyciu interfejsu wiersza polecenia platformy Azure

Użyj interfejsu wiersza polecenia platformy Azure do utworzenia nowej pamięci podręcznej z tożsamością zarządzaną lub zaktualizowania istniejącej pamięci podręcznej do korzystania z tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz az redis create lub az redis identity.

Na przykład aby zaktualizować pamięć podręczną do używania tożsamości zarządzanej przez system, użyj następującego polecenia interfejsu wiersza polecenia:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Włączanie tożsamości zarządzanej przy użyciu programu Azure PowerShell

Użyj programu Azure PowerShell do utworzenia nowej pamięci podręcznej z tożsamością zarządzaną lub zaktualizowania istniejącej pamięci podręcznej do korzystania z tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz New-AzRedisCache lub Set-AzRedisCache.

Aby na przykład zaktualizować pamięć podręczną do korzystania z tożsamości zarządzanej przez system, użyj następującego polecenia programu PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Konfigurowanie konta magazynu do korzystania z tożsamości zarządzanej

Ważne

Tożsamość zarządzana musi być skonfigurowana na koncie magazynu, zanim usługa Azure Cache for Redis będzie mogła uzyskać dostęp do konta w celu zapewnienia trwałości lub funkcji importowania/eksportowania. Jeśli ten krok nie zostanie wykonany poprawnie, zobaczysz błędy lub nie zapisano żadnych danych.

  1. Utwórz nowe konto magazynu lub otwórz istniejące konto magazynu, które chcesz połączyć z wystąpieniem pamięci podręcznej.

  2. Otwórz pozycję Kontrola dostępu (IAM) z menu Zasób. Następnie wybierz pozycję Dodaj i Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający ustawienia kontroli dostępu (IAM).

  3. Wyszukaj pozycję Współautor danych obiektu blob usługi Storage w okienku Rola. Wybierz go i Dalej.

    Zrzut ekranu przedstawiający formularz Dodawanie przypisania roli z listą ról.

  4. Wybierz kartę Członkowie . W obszarze Przypisz dostęp do wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Wybierz członków. Pasek boczny zostanie wyświetlony obok okienka roboczego.

    Zrzut ekranu przedstawiający formularz dodawania przypisania roli z okienkiem członków.

  5. Użyj listy rozwijanej w obszarze Tożsamość zarządzana, aby wybrać tożsamość zarządzaną przypisaną przez użytkownika lub tożsamość zarządzaną przypisaną przez system. Jeśli masz wiele tożsamości zarządzanych, możesz wyszukiwać według nazwy. Wybierz żądane tożsamości zarządzane, a następnie wybierz pozycję Wybierz. Następnie przejrzyj i przypisz, aby potwierdzić.

    Zrzut ekranu przedstawiający formularz tożsamości zarządzanej z wskazaną tożsamością zarządzaną przypisaną przez użytkownika.

  6. Możesz sprawdzić, czy tożsamość została pomyślnie przypisana, sprawdzając przypisania ról konta magazynu w obszarze Współautor danych obiektu blob usługi Storage.

    Zrzut ekranu przedstawiający listę Współautor danych obiektu blob usługi Storage.

Uwaga

Aby wyeksportować do pracy z kontem magazynu z wyjątkami zapory, należy:

Jeśli nie używasz tożsamości zarządzanej i zamiast tego autoryzujesz konto magazynu z kluczem, wyjątki zapory na koncie magazynu przerywają proces trwałości i proces importowania eksportu.

Uzyskiwanie dostępu do konta magazynu przy użyciu tożsamości zarządzanej

Używanie tożsamości zarządzanej z trwałością danych

  1. Otwórz wystąpienie usługi Azure Cache for Redis, do którego przypisano rolę Współautor danych obiektu blob usługi Storage i przejdź do pozycji Trwałość danych w menu Zasób.

  2. Zmień metodę uwierzytelniania na Tożsamość zarządzana i wybierz konto magazynu skonfigurowane wcześniej w artykule. wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający okienko trwałości danych z wybraną metodą uwierzytelniania.

    Ważne

    Tożsamość jest domyślnie ustawiona na tożsamość przypisaną przez system, jeśli jest włączona. W przeciwnym razie jest używana pierwsza tożsamość przypisana przez użytkownika.

  3. Kopie zapasowe trwałości danych można teraz zapisywać na koncie magazynu przy użyciu uwierzytelniania tożsamości zarządzanej.

    Zrzut ekranu przedstawiający eksportowanie danych w menu Zasób.

Importowanie i eksportowanie danych pamięci podręcznej przy użyciu tożsamości zarządzanej

  1. Otwórz wystąpienie usługi Azure Cache for Redis, do którego przypisano rolę Współautor danych obiektu blob usługi Storage i przejdź do karty Importowanie lub eksportowanie w obszarze Administracja istration.

  2. W przypadku importowania danych wybierz lokalizację magazynu obiektów blob, która zawiera wybrany plik RDB. W przypadku eksportowania danych wpisz żądany prefiks nazwy obiektu blob i kontener magazynu. W obu sytuacjach musisz użyć konta magazynu skonfigurowanego do uzyskiwania dostępu do tożsamości zarządzanej.

    Zrzut ekranu przedstawiający wybraną tożsamość zarządzaną.

  3. W obszarze Metoda uwierzytelniania wybierz pozycję Tożsamość zarządzana i wybierz odpowiednio pozycję Importuj lub Eksportuj.

Uwaga

Importowanie lub eksportowanie danych potrwa kilka minut.

Ważne

Jeśli zostanie wyświetlony błąd eksportu lub importu, sprawdź dokładnie, czy konto magazynu zostało skonfigurowane przy użyciu przypisanej przez system lub przypisanej przez użytkownika tożsamości pamięci podręcznej. Używana tożsamość będzie domyślnie używana do tożsamości przypisanej przez system, jeśli jest włączona. W przeciwnym razie jest używana pierwsza tożsamość przypisana przez użytkownika.

Powiązana zawartość