Compartilhar via


Identidade gerenciada para armazenamento

As identidades gerenciadas são uma ferramenta comum usada no Azure para ajudar os desenvolvedores a minimizar a carga de gerenciar segredos e informações de entrada. As identidades gerenciadas são úteis quando os serviços do Azure se conectam entre si. Em vez de gerenciar a autorização para cada serviço, o Microsoft Entra ID pode ser usado para fornecer uma identidade gerenciada que torna o processo de autenticação mais simplificado e mais seguro.

Usar identidade gerenciada com contas de armazenamento

Atualmente, o Cache do Azure para Redis pode usar uma identidade gerenciada para se conectar a uma conta de armazenamento, útil em dois cenários:

A identidade gerenciada permite simplificar o processo de conexão segura com a conta de armazenamento escolhida para essas tarefas.

O Cache do Azure para Redis dá suporte a ambos os tipos de identidade gerenciada:

  • A identidade atribuída pelo sistema é específica do recurso. Nesse caso, o cache é o recurso. Quando o cache é excluído, a identidade é excluída.

  • A identidade atribuída pelo usuário é específica para um usuário, não para o recurso. Ele pode ser atribuído a qualquer recurso que dê suporte à identidade gerenciada e permaneça mesmo quando você excluir o cache.

Cada tipo de identidade gerenciada tem vantagens, mas no Cache do Azure para Rediss, a funcionalidade é a mesma.

Habilitar a identidade gerenciada

A identidade gerenciada pode ser habilitada quando você cria uma instância de cache ou após a criação do cache. Durante a criação de um cache, somente uma identidade atribuída pelo sistema pode ser atribuída. Qualquer tipo de identidade pode ser adicionado a um cache existente.

Escopo de disponibilidade

Camada Básico, Standard Premium Enterprise, Enterprise Flash
Disponível Não Sim Não

Pré-requisitos e limitações

A identidade gerenciada para armazenamento é usada apenas com o recurso de importação/exportação e recurso de persistência agora, o que limita seu uso à camada Premium do Cache do Azure para Redis.

A identidade gerenciada para armazenamento não é suportada em caches que dependem dos Serviços de Nuvem (clássico). Para obter mais informações sobre como verificar se seu cache está usando os Serviços de Nuvem (clássico), consulte Como fazer para saber se um cache foi afetado?.

Criar um novo cache com identidade gerenciada usando o portal

  1. Entre no portal do Azure.

  2. Crie um novo recurso de Cache do Azure para Redis com um tipo de cache de qualquer uma das camadas Premium. Complete a guia Básico, com todas as informações necessárias.

    Captura de tela mostrando como criar um cache premium.

  3. Selecione a guia Avançado, role para baixo até Identidade gerenciada atribuída pelo sistema e clique em Ativado.

    Captura de tela mostrando a página “Avançado” do formulário.

  4. Conclua o processo de criação. Depois da criação e implantação do cache, abra-o e selecione a guia Identidade na seção Configurações à esquerda. Você verá que uma ID de objeto atribuída pelo sistema foi atribuída à identidadedo cache.

    Captura de tela mostrando “Identidade” no menu “Recurso”.

Adicionar identidade atribuída ao sistema a um cache existente

  1. Navegue até o recurso de Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.

  2. Para habilitar uma identidade atribuída pelo sistema, selecione a guia Atribuído pelo sistema e clique em Ativado em Status. Selecione Salvar para confirmar.

    Captura de tela mostrando

  3. Uma caixa de diálogo aparece informando que seu cache será registrado no Microsoft Entra ID e poderá receber permissões para acessar os recursos protegidos pelo Microsoft Entra ID. Selecione Sim. Captura de tela perguntando se você deseja habilitar a identidade gerenciada.

  4. Você vê uma ID de objeto (principal), indicando que a identidade foi atribuída.

    Captura de tela mostrando a ID do objeto (entidade).

Adicionar uma identidade atribuída pelo usuário a uma cache existente

  1. Navegue até o recurso de Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.

  2. Para habilitar a identidade atribuída pelo usuário, selecione a guia Atribuído pelo usuário e clique em Adicionar.

    O status da identidade atribuída pelo usuário é “ativada”.

  3. Uma barra lateral é exibida para permitir que você selecione qualquer identidade disponível atribuída pelo usuário à sua assinatura. Escolha uma identidade e selecione Adicionar. Para obter mais informações sobre as identidades gerenciadas atribuídas pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

    Observação

    Você precisa criar uma identidade atribuída pelo usuário com antecedência nesta etapa.

    Captura de tela mostrando uma identidade gerenciada atribuída pelo usuário.

  4. Você verá a identidade atribuída pelo usuário listada no painel Atribuído pelo usuário.

    Captura de tela mostrando uma lista de nomes, grupos de recursos e assinaturas.

Habilitar a identidade gerenciada usando a CLI do Azure

Use a CLI do Azure para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte AZ Redis Create ou AZ Redis Identity.

Por exemplo, para atualizar um cache para usar identidade gerenciada pelo sistema, use o seguinte comando da CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Habilitar identidade gerenciada usando o Azure PowerShell

Use o Azure PowerShell para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte New-AzRedisCache ou set-AzRedisCache.

Por exemplo, para atualizar um cache para usar identidade gerenciada pelo sistema, use o seguinte comando do PowerShelI:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurar a conta de armazenamento para usar identidade gerenciada

Importante

A identidade gerenciada deve ser configurada na conta de armazenamento antes que o Cache do Azure para Redis possa acessar a conta para persistência ou funcionalidade de importação/exportação. Se essa etapa não for feita corretamente, você verá erros ou nenhum dado gravado.

  1. Crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você deseja conectar à sua instância de cache.

  2. Abra o Controle de acesso (IAM) no menu de Recursos. Em seguida, selecione Adicionar e Adicionar atribuição de função.

    Captura de tela mostrando as configurações do Controle de Acesso (IAM).

  3. Pesquise por Colaborador de Dados de Armazenamento de BLOBs no painel Função. Selecione-o e Avançar.

    Captura de tela mostrando o formulário

  4. Selecione a guia Membros. Em AtribuirAtribuir acesso a, selecione Identidade Gerenciada e selecione em Selecionar membros. Uma barra lateral aparece ao lado do painel de trabalho.

    Captura de tela mostrando o formulário

  5. Use a lista suspensa em Identidade gerenciada para escolher uma Identidade gerenciada atribuída pelo usuário ou uma Identidade gerenciada atribuída pelo sistema. Se você tiver muitas identidades gerenciadas, poderá pesquisar por nome. Escolha as identidades gerenciadas que você deseja e, em seguida, Selecione. Em seguida, Examine + atribuir para confirmar.

    Captura de tela mostrando o formulário “Identidade gerenciada” com a identidade gerenciada atribuída pelo usuário indicada.

  6. É possível confirmar se a identidade foi atribuída com êxito verificando as atribuições de função da sua conta de armazenamento em Colaborador de Dados de Armazenamento de BLOBs.

    Captura de tela da lista de colaboradores de dados do blob de armazenamento.

Observação

Para que a exportação funcione com uma conta de armazenamento com exceções de firewall, você deve:

Se você não estiver usando a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação e exportação.

Usar a identidade gerenciada para acessar a conta de armazenamento

Usar identidade gerenciada com persistência de dados

  1. Abra a instância de Cache do Azure para Redis que recebeu a função de Colaborador de Dados de Armazenamento de BLOBs e acesse a Persistência de dados no menu de Recursos.

  2. Altere o Método de Autenticação para Identidade Gerenciada e selecione a conta de armazenamento que você configurou anteriormente no artigo. Selecione Salvar.

    Captura de tela mostrando o painel de persistência de dados com o método de autenticação selecionado.

    Importante

    A identidade usa como padrão a identidade atribuída pelo sistema se ela estiver habilitada. Caso contrário, a primeira identidade de listada atribuída pelo usuário será usada.

  3. Os backups de persistência de dados agora podem ser salvos na conta de armazenamento usando a autenticação de identidade gerenciada.

    Captura de tela mostrando dados de exportação no menu “Recurso”.

Usar identidade gerenciada para importar e exportar dados de cache

  1. Abra o Cache do Azure para a instância Redis que recebeu a função de Colaborador de Dados de Armazenamento de BLOBs e acesse a guia Importar ou Exportar em Administração.

  2. Se importar dados, escolha o local de Armazenamento de BLOBs que contém o arquivo RDB escolhido. Se estiver exportando dados, digite o prefixo de nome de blob desejado e o contêiner de armazenamento. Em ambas as situações, você deve usar a conta de armazenamento que você configurou para acesso de identidade gerenciada.

    Captura de tela mostrando “Identidade Gerenciada” selecionado.

  3. Em Método de autenticação, escolha Identidade gerenciada e selecione Importar ou Exportar, respectivamente.

Observação

Levará alguns minutos para importar ou exportar os dados.

Importante

Se você vir uma falha de exportação ou importação, verifique se sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo usuário do cache. A identidade usada padrão será a identidade atribuída pelo sistema se ela estiver habilitada. Caso contrário, a primeira identidade de listada atribuída pelo usuário será usada.