Udostępnij za pomocą

Tożsamość zarządzana dla kont magazynu

  • Dotyczy: ✅ Azure Cache for Redis

Ważne

Usługa Azure Cache for Redis ogłosiła harmonogram wycofania wszystkich SKU. Zalecamy przeniesienie istniejących wystąpień usługi Azure Cache for Redis do usługi Azure Managed Redis tak szybko, jak to możliwe.

Aby uzyskać więcej informacji na temat przejścia na emeryturę:

Tożsamość zarządzana ułatwia usługom platformy Azure łączenie się ze sobą dzięki usprawnieniu i zabezpieczeniu uwierzytelniania. Zamiast zarządzać autoryzacją między usługami, tożsamość zarządzana używa identyfikatora Entra firmy Microsoft do zapewnienia uwierzytelniania. W tym artykule opisano sposób używania tożsamości zarządzanej do łączenia pamięci podręcznych Usługi Azure Cache for Redis z kontami usługi Azure Storage.

Tożsamość zarządzana umożliwia uproszczenie procesu bezpiecznego nawiązywania połączenia z kontem usługi Azure Storage w następujących scenariuszach usługi Azure Redis:

Uwaga

Tylko funkcje trwałości danych usługi Azure Redis i importowania eksportu używają tożsamości zarządzanej. Te funkcje są dostępne tylko w warstwie Premium usługi Azure Redis, więc tożsamość zarządzana jest dostępna tylko w warstwie Premium usługi Azure Redis.

Usługa Azure Cache for Redis obsługuje tożsamości zarządzane przypisane przez system i przypisane przez użytkownika . Każdy typ tożsamości zarządzanej ma zalety, ale funkcjonalność jest taka sama w usłudze Azure Cache for Redis.

  • Tożsamość przypisana przez system jest specyficzna dla zasobu pamięci podręcznej. Jeśli pamięć podręczna zostanie usunięta, tożsamość zostanie usunięta.
  • Tożsamość przypisana przez użytkownika jest specyficzna dla użytkownika. Tę tożsamość można przypisać do dowolnego zasobu, takiego jak konto usługi magazynowej, które obsługuje tożsamość zarządzaną. To przypisanie pozostaje nawet w przypadku usunięcia określonego zasobu pamięci podręcznej.

Konfigurowanie tożsamości zarządzanej dla trwałości danych usługi Azure Redis Premium lub funkcji importowania eksportu składa się z kilku części:

Zanim utrzymywanie trwałości danych usługi Azure Redis lub importowanie i eksportowanie będą mogły uzyskać dostęp do konta magazynu, wszystkie części muszą zostać wykonane poprawnie. W przeciwnym razie zobaczysz błędy lub nie są zapisywane żadne dane.

Zakres dostępności

Warstwa Podstawowa, Standardowa Premium Enterprise, Enterprise Flash
Dostępny Tak Tak Nie.

Wymagania wstępne

  • Możliwość tworzenia i konfigurowania pamięci podręcznej Azure Redis Cache w warstwie Premium i konta usługi Azure Storage w ramach subskrypcji platformy Azure.
  • Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika: tożsamość zarządzana utworzona w tej samej subskrypcji platformy Azure co konto usługi Azure Redis Cache i Storage.

Włączanie tożsamości zarządzanej

Tożsamość zarządzaną dla pamięci podręcznej Azure Redis można włączyć za pomocą Azure Portal, Azure CLI lub Azure PowerShell. Tożsamość zarządzaną można włączyć podczas tworzenia wystąpienia pamięci podręcznej lub później.

Włącz zarządzaną tożsamość w portalu Azure

Podczas tworzenia pamięci podręcznej można przypisać tylko tożsamość zarządzaną przypisaną przez system. Możesz dodać tożsamość przypisaną przez system lub przypisaną przez użytkownika do istniejącej pamięci podręcznej.

Tworzenie nowej pamięci podręcznej z tożsamością zarządzaną

  1. W witrynie Azure Portal wybierz opcję utworzenia pamięci podręcznej Azure Cache for Redis Cache. Na karcie Podstawy wybierz Premium dla SKU pamięci podręcznej i wypełnij pozostałe wymagane informacje.

    Zrzut ekranu przedstawiający tworzenie pamięci podręcznej Premium.

  2. Wybierz kartę Zaawansowane, a następnie w obszarze Tożsamość zarządzana przypisana przez system ustaw pozycję Stan na Włączone.

    Zrzut ekranu przedstawiający ustawienie tożsamości zarządzanej przypisanej przez system na wartość Włączone.

  3. Ukończ proces tworzenia pamięci podręcznej.

  4. Po wdrożeniu pamięci podręcznej przejdź do strony pamięci podręcznej i wybierz pozycję Tożsamość w sekcji Ustawienia w menu nawigacji po lewej stronie. Sprawdź, czy identyfikator obiektu jest widoczny na karcie Przypisane przez system na stronie Tożsamość.

    Zrzut ekranu przedstawiający pozycję Tożsamość w menu Zasób.

Dodawanie tożsamości przypisanej przez system do istniejącej pamięci podręcznej

  1. Na stronie witryny Azure Portal dla pamięci podręcznej Azure Redis Premium wybierz pozycję Tożsamość w obszarze Ustawienia w menu nawigacji po lewej stronie.

  2. Na karcie Przypisane przez system ustaw Stan na Wł. Następnie wybierz Zapisz.

    Zrzut ekranu przedstawiający wybraną pozycję Przypisane przez system i stan jest włączony.

  3. Odpowiedz Tak na monit Włącz tożsamość zarządzaną przypisaną przez system.

  4. Po przypisaniu tożsamości sprawdź, czy na stronie Tożsamość, na karcie Przypisane przez system, pojawia się identyfikator obiektu (podmiot zabezpieczeń).

    Zrzut ekranu przedstawiający identyfikator obiektu (podmiotu zabezpieczeń).

Dodawanie tożsamości przypisanej przez użytkownika do istniejącej pamięci podręcznej

  1. Na stronie witryny Azure Portal dla pamięci podręcznej Azure Redis Premium wybierz pozycję Tożsamość w obszarze Ustawienia w menu nawigacji po lewej stronie.

  2. Wybierz kartę Użytkownik przypisany , a następnie wybierz pozycję Dodaj.

    Stan tożsamości przypisanej przez użytkownika jest włączony.

  3. Na ekranie Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wybierz tożsamość zarządzaną z subskrypcji i wybierz pozycję Dodaj. Aby uzyskać więcej informacji na temat tożsamości zarządzanych przypisanych przez użytkownika, zobacz zarządzanie tożsamością przypisaną przez użytkownika.

    Zrzut ekranu przedstawiający tożsamość zarządzaną przypisaną przez użytkownika.

  4. Po dodaniu tożsamości przypisanej przez użytkownika sprawdź, czy jest ona wyświetlana na karcie Przypisane przez użytkownika na stronie Tożsamość .

    Zrzut ekranu przedstawiający tożsamość przypisaną przez użytkownika na stronie Tożsamość.

Włącz tożsamość zarządzaną za pomocą Azure CLI

Można użyć Azure CLI do utworzenia nowej pamięci podręcznej z tożsamością zarządzaną przy użyciu polecenia az redis create. Istniejącą pamięć podręczną można zaktualizować do korzystania z tożsamości zarządzanej przy użyciu az redis identity.

Aby na przykład zaktualizować pamięć podręczną, aby korzystała z tożsamości zarządzanej przez system, użyj następującego polecenia Azure CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Włączanie tożsamości zarządzanej przy użyciu programu Azure PowerShell

Za pomocą programu Azure PowerShell można utworzyć nową pamięć podręczną z tożsamością zarządzaną przy użyciu polecenia New-AzRedisCache. Istniejącą pamięć podręczną można zaktualizować do korzystania z tożsamości zarządzanej przy użyciu polecenia Set-AzRedisCache.

Aby na przykład zaktualizować pamięć podręczną do korzystania z tożsamości zarządzanej przez system, użyj następującego polecenia programu Azure PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Skonfiguruj konto magazynowe, aby korzystać z zarządzanej tożsamości

  1. W portalu Azure utwórz nowe konto zasobów lub otwórz istniejące konto, które zamierzasz połączyć z instancją pamięci podręcznej.

  2. Wybierz Kontrola dostępu (IAM) z menu nawigacji po lewej stronie.

  3. Na stronie Kontrola dostępu (Zarządzanie dostępem i tożsamościami) wybierz Dodaj>Dodaj przypisanie roli.

    Zrzut ekranu przedstawiający ustawienia kontroli dostępu (IAM).

  4. Na karcie Rola na stronie Dodawanie przypisania roli wyszukaj i wybierz opcję Kontrybutor danych Blob Storage, a następnie wybierz opcję Dalej.

    Zrzut ekranu przedstawiający formularz Dodawanie przypisania roli z listą ról.

  5. Na karcie Członkowie w polu Przypisz dostęp do wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Wybierz członków.

    Zrzut ekranu przedstawiający formularz dodawania przypisania roli z okienkiem członków.

  6. W okienku Wybierz tożsamości zarządzane wybierz strzałkę listy rozwijanej w obszarze Tożsamość zarządzana , aby wyświetlić wszystkie dostępne tożsamości zarządzane przypisane przez użytkownika i przypisane przez system. Jeśli masz wiele tożsamości zarządzanych, możesz wyszukać tę, której szukasz. Wybierz żądane tożsamości zarządzane, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający okienko wyboru zarządzanych tożsamości.

  7. Na stronie Dodawanie przypisania roli wybierz pozycję Przejrzyj i przypisz, a następnie wybierz pozycję Przejrzyj i przypisz ponownie, aby potwierdzić.

    Zrzut ekranu przedstawiający formularz tożsamości zarządzanej z przypisanymi tożsamościami zarządzanymi.

  8. Na stronie Kontrola dostępu konta magazynu (IAM) wybierz pozycję Widok w obszarze Wyświetl dostęp do tego zasobu, a następnie wyszukaj pozycję Współautor danych obiektu blob usługi Storage na karcie Przypisania ról , aby sprawdzić, czy tożsamości zarządzane zostały dodane.

    Zrzut ekranu przedstawiający listę Współautor danych obiektu blob usługi Storage.

Ważne

Aby eksport działał poprawnie z kontem magazynu posiadającym wyjątki zapory, należy:

Jeśli nie używasz tożsamości zarządzanej i zamiast tego autoryzujesz konto magazynu za pomocą klucza, wyjątki w zaporze na koncie magazynu przerywają proces utrzymywania trwałości oraz procesy importu i eksportu.

Używanie tożsamości zarządzanej z trwałością danych

  1. Na stronie portalu Azure dla pamięci podręcznej Azure Redis Premium z rolą Współautor danych bloba Storage wybierz pozycję Trwałość danych w obszarze Ustawienia w menu nawigacyjnym po lewej stronie.

  2. Upewnij się, że Metoda uwierzytelniania jest ustawiona na Tożsamość zarządzana.

    Ważne

    Zaznaczenie jest domyślnie ustawione na tożsamość przypisaną przez system, jeśli jest włączona. W przeciwnym razie używa pierwszej tożsamości przypisanej przez użytkownika.

  3. W obszarze Konto magazynu wybierz konto magazynu skonfigurowane do używania tożsamości zarządzanej, jeśli nie zostało jeszcze wybrane, a następnie wybierz pozycję Zapisz w razie potrzeby.

    Zrzut ekranu przedstawiający okienko trwałości danych z wybraną metodą uwierzytelniania.

Teraz można zapisywać kopie zapasowe trwałości danych na koncie magazynowym, korzystając z uwierzytelniania za pomocą tożsamości zarządzanej.

Importowanie i eksportowanie danych pamięci podręcznej przy użyciu tożsamości zarządzanej

  1. Na stronie portalu Azure dla pamięci podręcznej Azure Redis Premium z rolą Współautor danych obiektu blob usługi Storage, wybierz Importuj dane lub Eksportuj dane w obszarze Administracja w menu po lewej stronie.

  2. Na ekranie Importowanie danych lub Eksportowanie danych wybierz pozycję Tożsamość zarządzana dla pozycji Metoda uwierzytelniania.

  3. Aby zaimportować dane, na ekranie Importowanie danych wybierz pozycję Wybierz obiekty blob obok pozycji Pliki RDB. Wybierz plik lub pliki bazy danych Redis (RDB) z lokalizacji magazynu blob, a następnie wybierz pozycję Wybierz.

  4. Aby wyeksportować dane, na ekranie Eksportuj dane wprowadź prefiks nazwy bloba, a następnie wybierz Wybierz kontener magazynowania obok Eksportuj wynik. Wybierz lub utwórz kontener do przechowywania wyeksportowanych danych, a następnie wybierz pozycję Wybierz.

    Zrzut ekranu przedstawiający wybraną tożsamość zarządzaną.

  5. Na ekranie Importuj dane lub Eksportuj dane wybierz odpowiednio pozycję Importuj lub Eksportuj .

    Uwaga

    Importowanie lub eksportowanie danych trwa kilka minut.

Ważne

Jeśli zostanie wyświetlony błąd eksportu lub importu, sprawdź dokładnie, czy konto magazynu zostało skonfigurowane przy użyciu przypisanej przez system lub przypisanej przez użytkownika tożsamości pamięci podręcznej. Używana tożsamość domyślnie ustawia się na tożsamość przypisaną przez system, jeśli jest włączona. W przeciwnym razie używa pierwszej tożsamości przypisanej przez użytkownika.

Powiązana zawartość

  • Last updated on