Поделиться через

Управляемое удостоверение для учетных записей хранения

  • Применяется к: ✅ Azure Cache for Redis

Управляемое удостоверение помогает службам Azure подключаться друг к другу, делая проверку подлинности более упрощенной и безопасной. Вместо управления авторизацией между службами управляемое удостоверение использует идентификатор Microsoft Entra для предоставления проверки подлинности. В этой статье описывается, как использовать управляемое удостоверение для подключения кэша Azure для Redis к учетным записям хранения Azure.

Управляемое удостоверение позволяет упростить процесс безопасного подключения к учетной записи хранения Azure для следующих сценариев Azure Redis:

Примечание.

Только функции сохраняемости и экспорта данных Redis Azure используют управляемое удостоверение. Эти функции доступны только на уровне "Премиум" Azure Redis, поэтому управляемое удостоверение доступно только на уровне Azure Redis Premium.

Кэш Azure для Redis поддерживает как назначаемые системой , так и назначаемые пользователем управляемые удостоверения. Каждый тип управляемого удостоверения имеет свои преимущества, но функциональные возможности в Azure Cache for Redis остаются одинаковыми.

  • Назначаемое системой удостоверение зависит от ресурса кэша. Если кэш будет удален, удостоверение также будет удалено.
  • Удостоверение, назначенное пользователем, специфично для пользователя. Вы можете назначить это удостоверение любому ресурсу, например, учетной записи хранилища, которая поддерживает управляемое удостоверение. Это назначение остается даже при удалении определенного ресурса кэша.

Настройка управляемой идентификации для повышения устойчивости данных или функций импорта-экспорта в Azure Redis Premium состоит из нескольких частей:

Все части должны быть выполнены правильно, прежде чем сохранение данных или их импорт-экспорт в Azure Redis смогут получить доступ к учетной записи хранилища. В противном случае отображаются ошибки или данные не записываются.

Область доступности

Уровень "Базовый", "Стандартный" Премиум Энтерпрайз, Энтерпрайз Флэш
Доступно Да Да Нет

Предпосылки

  • Возможность создания и настройки кэша Redis уровня "Премиум" и учетной записи хранения Azure в подписке Azure.
  • Чтобы назначить управляемое удостоверение, назначаемое пользователем, — управляемое удостоверение, созданное в той же подписке Azure, что и кэш Redis Azure и учетная запись хранения.

Включение управляемого удостоверения

Вы можете включить функцию управляемого удостоверения для кэша Redis Azure с помощью портала Azure, Azure CLI или Azure PowerShell. Вы можете включить управляемое удостоверение при создании экземпляра кэша или после этого.

Включение управляемого удостоверения на портале Azure

Во время создания кэша можно назначить только управляемое удостоверение, назначаемое системой. Вы можете добавить назначенное системой удостоверение или удостоверение, назначаемое пользователем, в существующий кэш.

Создание нового кэша с управляемой идентичностью

  1. На портале Azure выберите создание кэша Azure для Redis. На вкладке "Основные сведения" выберите "Премиум" для номера SKU кэша и заполните остальные необходимые сведения.

    Снимок экрана: создание кэша Premium.

  2. Перейдите на вкладку «Дополнительно» и в разделе «Системное управляемое удостоверение» установите параметр «Состояние» в «Включено».

    Снимок экрана, показывающий установку управляемого удостоверения, назначаемого системой, в режим

  3. Завершите процесс создания кэша.

  4. После развертывания кэша перейдите на страницу кэша и выберите Удостоверение в разделе Параметры в меню навигации слева. Убедитесь, что идентификатор объекта (субъекта) отображается на вкладке Назначаемая системой страницы Удостоверений.

    Снимок экрана, показывающий идентификацию в меню ресурсов.

Добавление системно назначаемой идентичности в существующий кэш

  1. На странице портала Azure для кэша Azure Redis Premium в левом меню навигации выберите «Удостоверение» в разделе «Параметры».

  2. На вкладке "Назначаемая системой" установите "Состояние" в "включено", а затем нажмите кнопку "Сохранить".

    Снимок экрана, на котором указано:

  3. Ответьте "Да" на запрос включить назначаемое системой управляемое удостоверение.

  4. После назначения удостоверения убедитесь, что идентификатор объекта (субъекта) отображается на вкладке " Назначаемое системой " страницы удостоверений .

    Снимок экрана с идентификатором объекта (главного).

Добавьте пользовательское удостоверение в существующий кэш

  1. На странице портала Azure для кэша Azure Redis Premium в левом меню навигации выберите «Удостоверение» в разделе «Параметры».

  2. Перейдите на вкладку Назначено пользователем и нажмите Добавить.

    Статус удостоверения идентичности назначенного пользователем включен.

  3. На странице добавления управляемого удостоверения, назначаемого пользователем выберите управляемое удостоверение из подписки и нажмите Добавить. Узнайте больше о назначаемых пользователем управляемых удостоверениях в разделе Администрирование назначаемого пользователем удостоверения.

    Снимок экрана показывающий назначенное пользователем управляемое удостоверение.

  4. После добавления назначенной пользователем учетной записи убедитесь, что она отображается на вкладке Назначенные пользователем на странице Идентичность.

    Снимок экрана страницы

Включение управляемого удостоверения с помощью Azure CLI

Azure CLI можно использовать для создания кэша с управляемым удостоверением с помощью az redis create. Вы можете обновить существующий кэш для использования управляемого удостоверения с помощью az redis identity.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, используйте следующую команду Azure CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Включите управляемое удостоверение с помощью "Azure PowerShell"

Azure PowerShell можно использовать для создания нового кэша с управляемым удостоверением с помощью New-AzRedisCache. Вы можете обновить существующий кэш для использования управляемого удостоверения с помощью Set-AzRedisCache.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, используйте следующую команду Azure PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Настройте учетную запись хранения для использования управляемого удостоверения

  1. На портале Azure создайте новую учетную запись хранения или откройте существующую учетную запись хранения, которую требуется подключить к экземпляру кэша.

  2. Выберите элемент управления доступом (IAM) в меню навигации слева.

  3. На странице управления доступом (IAM) выберите "Добавить>назначение роли".

    Снимок экрана: параметры управления доступом (IAM).

  4. На вкладке "Роль" на странице "Добавление назначения ролей " найдите и выберите "Участник данных BLOB-объектов хранилища" и нажмите кнопку "Далее".

    Снимок экрана: форма добавления назначения ролей со списком ролей.

  5. На вкладке "Участники" для назначения доступа выберите "Управляемое удостоверение" и выберите "Выбрать участников".

    Снимок экрана: форма добавления назначения ролей со панелью участников.

  6. В области "Выбор управляемых удостоверений " щелкните стрелку раскрывающегося списка в разделе "Управляемое удостоверение ", чтобы просмотреть все доступные управляемые удостоверения, назначенные пользователем и назначаемые системой. Если у вас есть много управляемых удостоверений, вы можете найти нужное удостоверение. Выберите нужные управляемые удостоверения и нажмите кнопку "Выбрать".

    Снимок экрана с панелью добавления

  7. На странице "Добавление назначения ролей" выберите "Проверить и назначить", а затем снова выберите "Проверить и назначить", чтобы подтвердить.

    Снимок экрана: форма управляемого удостоверения с назначенными управляемыми удостоверениями.

  8. На странице Управление доступом (IAM) учетной записи хранилища выберите Просмотр в разделе Просмотр доступа к этому ресурсу, а затем на вкладке Назначение ролей найдите Contributor данных хранилища, чтобы убедиться, что управляемые удостоверения добавлены.

    Снимок экрана: список пользователей с ролью

Внимание

Для экспорта для работы с учетной записью хранения с исключениями брандмауэра необходимо:

Если вы не используете управляемое удостоверение и вместо этого авторизуете учетную запись хранения с ключом, то при наличии исключений брандмауэра в учетной записи хранения прерывается процесс сохраняемости и процессы импорта.

Использование управляемого удостоверения для сохраняемости данных

  1. На странице портала Azure для кэша Azure Redis Premium с ролью участника данных BLOB-объектов хранилища выберите устойчивость данных в разделе Параметры в меню навигации слева.

  2. Убедитесь, что для метода проверки подлинностизадано значение Managed Identity.

    Внимание

    Если этот параметр включен, выбор по умолчанию присваивается удостоверению, назначенному системой. В противном случае используется первое из перечисленных удостоверений, назначенных пользователем.

  3. В разделе "Учетная запись хранения" выберите учетную запись хранения, настроенную для использования управляемого удостоверения, если она еще не выбрана, и при необходимости нажмите кнопку "Сохранить ".

    Снимок экрана: область сохраняемости данных с выбранным методом проверки подлинности.

Теперь можно сохранить резервные копии данных в учетную запись хранения с помощью аутентификации с управляемым удостоверением.

Использование управляемого удостоверения для импорта и экспорта данных кэша

  1. На странице портала Azure для вашего кэша Azure Redis Premium с ролью участника данных BLOB-объектов хранилища выберите Импорт данных или Экспорт данных в разделе Администрирование в навигационном меню слева.

  2. На экране "Импорт данных " или " Экспорт данных " выберите "Управляемое удостоверение " для метода проверки подлинности.

  3. Чтобы импортировать данные, на экране импорта данных выберите "Выбрать BLOB-объекты" рядом с файлами RDB. Выберите файл или файлы базы данных Redis (RDB) в расположении хранилища BLOB-объектов и нажмите кнопку "Выбрать".

  4. Чтобы экспортировать данные, на экране «Экспорт данных» введите префикс имени Blob, затем выберите «Выбрать контейнер хранилища» рядом с «результаты экспорта». Выберите или создайте контейнер для хранения экспортированных данных и нажмите кнопку "Выбрать".

    Снимок экрана, на котором выбрано управляемое удостоверение.

  5. На экране "Импорт данных " или " Экспорт данных" выберите "Импорт " или " Экспорт " соответственно.

    Примечание.

    Для импорта или экспорта данных потребуется несколько минут.

Внимание

Если вы видите ошибку экспорта или импорта, тщательно проверьте, настроена ли ваша учетная запись хранения с использованием удостоверения кэша, назначаемого системой или пользователем. Удостоверение по умолчанию используется назначенное системой удостоверение, если оно включено. В противном случае используется первое из перечисленных удостоверений, назначенных пользователем.

Связанный контент