Partilhar via

Identidade gerida para as contas de armazenamento

  • Aplica-se a: ✅ Azure Cache for Redis

Uma identidade gerenciada ajuda os serviços do Azure a se conectarem uns aos outros, tornando a autenticação mais simplificada e segura. Em vez de gerenciar a autorização entre os serviços, uma identidade gerenciada usa a ID do Microsoft Entra para fornecer autenticação. Este artigo descreve como usar a identidade gerenciada para conectar caches do Cache Redis do Azure a contas de Armazenamento do Azure.

Uma identidade gerenciada permite simplificar o processo de conexão segura a uma conta de Armazenamento do Azure para os seguintes cenários do Azure Redis:

Nota

Somente os recursos de persistência de dados do Azure Redis e importação-exportação usam a identidade gerenciada. Esses recursos estão disponíveis somente na camada Redis Premium do Azure, portanto, a identidade gerenciada está disponível somente na camada Premium Redis do Azure.

O Cache Redis do Azure dá suporte a identidades gerenciadas atribuídas pelo sistema e pelo usuário . Cada tipo de identidade gerenciada tem vantagens, mas a funcionalidade é a mesma no Cache do Azure para Redis.

  • A identidade atribuída ao sistema é específica para o recurso de cache. Se o cache for excluído, a identidade será excluída.
  • A identidade atribuída pelo usuário é específica para um usuário. Você pode atribuir essa identidade a qualquer recurso, como uma conta de armazenamento, que ofereça suporte à identidade gerenciada. Essa atribuição permanece mesmo se você excluir o recurso de cache específico.

A configuração da identidade gerenciada para os recursos de persistência de dados ou importação-exportação do Azure Redis Premium consiste em várias partes:

Todas as partes devem ser concluídas corretamente para que a persistência de dados Redis do Azure ou a importação-exportação possam acessar a conta de armazenamento. Caso contrário, você verá erros ou nenhum dado gravado.

Âmbito da disponibilidade

Escalão de serviço Básico, Standard Prémio Empresa, Enterprise Flash
Disponível Sim Sim Não

Pré-requisitos

  • Capacidade de criar e configurar um cache Redis do Azure de camada Premium e uma conta de Armazenamento do Azure em uma assinatura do Azure.
  • Para atribuir uma identidade gerenciada atribuída pelo usuário: uma identidade gerenciada criada na mesma assinatura do Azure que a conta de cache e armazenamento Redis do Azure.

Ativar a identidade gerida

Você pode habilitar a identidade gerenciada para seu cache Redis do Azure usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Você pode habilitar a identidade gerenciada ao criar uma instância de cache ou posteriormente.

Habilitar identidade gerenciada no portal do Azure

Durante a criação do cache, você pode atribuir apenas a identidade gerenciada atribuída ao sistema. Você pode adicionar uma identidade atribuída pelo sistema ou pelo usuário a um cache existente.

Criar um novo cache com identidade gerenciada

  1. No portal do Azure, escolha criar um Cache do Azure para cache Redis. Na guia Noções básicas , selecione Premium para a SKU de cache e preencha o restante das informações necessárias.

    Captura de tela da criação de um cache Premium.

  2. Selecione a guia Avançado e, em Identidade gerenciada atribuída ao sistema, defina Status como Ativado.

    Captura de tela que mostra a configuração Identidade gerenciada atribuída ao sistema como Ativado.

  3. Conclua o processo de criação do cache.

  4. Depois que o cache for implantado, vá para a página de cache e selecione Identidade em Configurações no menu de navegação esquerdo. Verifique se um ID de objeto (principal) aparece na guia Sistema atribuído da página Identidade .

    Captura de ecrã a mostrar a Identidade no menu Recurso.

Adicionar identidade atribuída pelo sistema a um cache existente

  1. Na página do portal do Azure para seu cache Redis Premium do Azure, selecione Identidade em Configurações no menu de navegação esquerdo.

  2. Na guia Sistema atribuído , defina Status como Ativado e selecione Salvar.

    Captura de ecrã a mostrar o Sistema Atribuído selecionado e o Estado ativado.

  3. Responda Sim ao prompt de identidade gerenciada Habilitar sistema atribuído .

  4. Depois que a identidade for atribuída, verifique se um ID de objeto (principal) aparece na guia Sistema atribuído da página Identidade .

    Captura de tela mostrando a ID do objeto (principal).

Adicionar uma identidade atribuída pelo usuário a um cache existente

  1. Na página do portal do Azure para seu cache Redis Premium do Azure, selecione Identidade em Configurações no menu de navegação esquerdo.

  2. Selecione o separador Atribuído ao utilizador e, em seguida, selecione Adicionar.

    O status de identidade atribuído ao usuário está ativado.

  3. Na tela Adicionar identidade gerenciada atribuída ao usuário , selecione uma identidade gerenciada na sua assinatura e selecione Adicionar. Para obter mais informações sobre identidades gerenciadas atribuídas pelo usuário, consulte gerenciar identidade atribuída pelo usuário.

    Captura de ecrã a mostrar uma identidade gerida atribuída pelo utilizador.

  4. Depois que a identidade atribuída pelo usuário for adicionada, verifique se ela aparece na guia Usuário atribuído da página Identidade .

    Captura de ecrã a mostrar a identidade atribuída pelo utilizador na página Identidade.

Habilitar identidade gerenciada usando a CLI do Azure

Você pode usar a CLI do Azure para criar um novo cache com identidade gerenciada usando az redis create. Você pode atualizar um cache existente para usar a identidade gerenciada usando a identidade az redis.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando da CLI do Azure:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Habilitar identidade gerenciada usando o Azure PowerShell

Você pode usar o Azure PowerShell para criar um novo cache com identidade gerenciada usando New-AzRedisCache. Você pode atualizar um cache existente para usar a identidade gerenciada usando Set-AzRedisCache.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando do Azure PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurar a conta de armazenamento para usar a identidade gerenciada

  1. No portal do Azure, crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você deseja conectar à sua instância de cache.

  2. Selecione Controle de acesso (IAM) no menu de navegação à esquerda.

  3. Na página Controle de acesso (IAM), selecione Adicionar>atribuição de função.

    Captura de ecrã a mostrar as definições do Controlo de Acesso (IAM).

  4. Na guia Função da página Adicionar Atribuição de Função , procure e selecione Colaborador de Dados de Blob de Armazenamento e selecione Avançar.

    Captura de ecrã a mostrar o formulário Adicionar atribuição de funções com uma lista de funções.

  5. No separador Membros , para Atribuir acesso a, selecione Identidade Gerida e, em seguida, selecione Selecionar membros.

    Captura de tela mostrando o formulário de atribuição de função com o painel de membros.

  6. No painel Selecionar identidades gerenciadas , selecione a seta suspensa em Identidade gerenciada para ver todas as identidades gerenciadas atribuídas pelo usuário e pelo sistema disponíveis. Se tiver muitas identidades geridas, pode procurar a que pretende. Escolha as identidades gerenciadas desejadas e selecione Selecionar.

    Captura de ecrã a mostrar o painel adicionar Selecionar identidades geridas.

  7. Na página Adicionar atribuição de função , selecione Rever + atribuir e, em seguida, selecione Rever + atribuir novamente para confirmar.

    Captura de ecrã a mostrar o formulário de Identidade Gerida com identidades geridas atribuídas.

  8. Na página Controle de acesso (IAM) da conta de armazenamento, selecione Exibir em Exibir acesso a este recurso e procure por Colaborador de Dados de Blob de Armazenamento na guia Atribuições de Função para verificar se as identidades gerenciadas foram adicionadas.

    Captura de ecrã da lista de Colaboradores de Dados de Blob de Armazenamento.

Importante

Para que a exportação funcione com uma conta de armazenamento com exceções de firewall, você deve:

Se você não usar a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação-exportação.

Usar identidade gerenciada com persistência de dados

  1. Na página do portal do Azure para seu cache Redis Premium do Azure que tem a função de Colaborador de Dados de Blob de Armazenamento , selecione Persistência de dados em Configurações no menu de navegação esquerdo.

  2. Verifique se Método de Autenticação está definido como Identidade Gerenciada.

    Importante

    A seleção assume como padrão a identidade atribuída pelo sistema, se habilitada. Caso contrário, ele usa a primeira identidade atribuída pelo usuário listada.

  3. Em Conta de armazenamento, selecione a conta de armazenamento que você configurou para usar a identidade gerenciada, se ainda não estiver selecionada, e selecione Salvar , se necessário.

    Captura de tela mostrando o painel de persistência de dados com o método de autenticação selecionado.

Agora você pode salvar backups de persistência de dados na conta de armazenamento usando a autenticação de identidade gerenciada.

Usar identidade gerenciada para importar e exportar dados de cache

  1. Na página do portal do Azure para seu cache Redis Premium do Azure que tem a função de Colaborador de Dados de Blob de Armazenamento , selecione Importar dados ou Exportar dados em Administração no menu de navegação esquerdo.

  2. Na tela Importar dados ou Exportar dados , selecione Identidade gerenciada para método de autenticação.

  3. Para importar dados, na tela Importar dados , selecione Escolher Blob(s) ao lado de Arquivo(s) RDB. Selecione seu arquivo ou arquivos do Banco de Dados Redis (RDB) no local de armazenamento de blob e selecione Selecionar.

  4. Para exportar dados, na tela Exportar dados , insira um prefixo de nome de Blob e selecione Escolher contêiner de armazenamento ao lado de Exportar saída. Selecione ou crie um contêiner para armazenar os dados exportados e selecione Selecionar.

    Captura de ecrã a mostrar a Identidade Gerida selecionada.

  5. Na tela Importar dados ou Exportar dados , selecione Importar ou Exportar , respectivamente.

    Nota

    Leva alguns minutos para importar ou exportar os dados.

Importante

Se ocorrer uma falha na exportação ou importação, verifique se a sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo utilizador da cache. A identidade usada assume como padrão a identidade atribuída pelo sistema, se habilitada. Caso contrário, ele usa a primeira identidade atribuída pelo usuário listada.

Conteúdos relacionados