Управляемое удостоверение для хранилища

  • Статья

Управляемые удостоверения — это общее средство, используемое в Azure, которое помогает разработчикам снизить нагрузку на управление секретами и данными для входа. Управляемые удостоверения являются полезными, когда службы Azure подключаются друг к другу. Вместо управления авторизацией между каждой службой идентификатор Microsoft Entra можно использовать для предоставления управляемого удостоверения, что делает процесс проверки подлинности более упрощенным и безопасным.

Использование управляемого удостоверения с учетными записями хранения

В настоящее время Кэш Azure для Redis может использовать управляемое удостоверение для подключения с учетной записью хранения, что выгодно в двух сценариях:

  • Сохраняемость данных — запланированное резервное копирование данных в кэше через файл RDB или AOF.

  • Импорт или экспорт — сохранение моментальных снимков данных кэша или импорт данных из сохраненного файла.

Управляемое удостоверение позволяет упростить процесс безопасного подключения к выбранной учетной записи хранения для выполнения этих задач.

Кэш Azure для Redis поддерживает оба типа управляемого удостоверения:

  • Назначаемое системой удостоверение зависит от ресурса. В этом случае кэш является ресурсом. При удалении кэша удостоверение удаляется.

  • Назначаемое пользователем удостоверение зависит от пользователя, а не от ресурса. Его можно назначить любому ресурсу, который поддерживает управляемое удостоверение и остается даже после удаления кэша.

Каждый тип управляемого удостоверения имеет свои преимущества, но в Кэше Azure для Redis функциональные возможности одинаковы.

Включение управляемого удостоверения

Управляемое удостоверение можно включить либо при создании экземпляра кэша, либо после создания кэша. Во время создания кэша может быть назначено только удостоверение, назначаемое системой. В существующий кэш можно добавить любой из типов удостоверений.

Область доступности

Уровень "Базовый", "Стандартный" Premium Enterprise, Enterprise Flash
На месте No Да Нет

Предварительные требования и ограничения

Управляемое удостоверение для хранилища используется только с функцией импорта и экспорта и функцией сохраняемости, которая ограничивает его использование до уровня "Премиум" Кэш Azure для Redis.

Управляемое удостоверение для хранилища не поддерживается в кэшах с зависимостью от Облачные службы (классической). Дополнительные сведения о том, как проверка о том, используется ли кэш Облачные службы (классическая модель), см. Разделы справки знать, влияет ли кэш?.

Создание нового кэша с управляемым удостоверением с помощью портала

  1. Войдите на портал Azure.

  2. Создайте новый ресурс Кэша Azure для Redis с типом кэша из уровней "Премиум". Заполните вкладку Основные сведения всеми необходимыми сведениями.

    Снимок экрана, на котором показано, как создать кэш уровня

  3. Перейдите на вкладку Дополнительно. Затем прокрутите вниз до Управляемое удостоверение, назначаемое системой и выберите Вкл.

    Снимок экрана: страница

  4. Завершите процесс создания. После создания и развертывания кэша откройте его и выберите вкладку Удостоверение слева в разделе Параметры. Вы увидите, что назначаемый системой идентификатор объекта был назначен в кэше Удостоверение.

    Снимок экрана: удостоверение в меню ресурсов

Добавление удостоверения, назначаемого системой, в существующий кэш

  1. Перейдите к ресурсу Кэша Azure для Redis на портале Azure. Выберите Удостоверение в меню ресурсов слева.

  2. Чтобы включить назначаемое системой удостоверение, выберите вкладку Назначено системой и в разделе Состояние щелкните Вкл. Выберите Сохранить для подтверждения.

    Снимок экрана: выбрано

  3. Откроется диалоговое окно с сообщением о том, что кэш будет зарегистрирован в идентификаторе Microsoft Entra ID и что он может быть предоставлен разрешения на доступ к ресурсам, защищенным идентификатором Microsoft Entra. Выберите Да. Снимок экрана: вопрос о том, хотите ли вы включить управляемое удостоверение.

  4. Вы увидите идентификатор объекта (субъект), указывающий, что удостоверение назначено.

    Снимок экрана: идентификатор объекта (субъекта-службы).

Добавление назначаемого пользователем удостоверения к существующему кэшу

  1. Перейдите к ресурсу Кэша Azure для Redis на портале Azure. Выберите Удостоверение в меню ресурсов слева.

  2. Чтобы включить удостоверение, назначаемое пользователем, выберите вкладку Пользователь назначен и щелкните Добавить.

    Назначенный пользователем статус удостоверения —

  3. Появится боковая панель, позволяющая выбрать любое удостоверение, назначаемое пользователем, в подписке. Выберите удостоверение и нажмите Добавить. Дополнительные сведения см. в статье Администрирование управляемых удостоверений, назначаемых пользователем.

    Примечание.

    Перед этим шагом необходимо создать удостоверение, назначаемое пользователем.

    Снимок экрана с управляемым удостоверением, назначаемым пользователем.

  4. Удостоверение, назначаемое пользователем, отображается в области Пользователь назначен.

    Снимок экрана: список имен, групп ресурсов и подписок.

Включение управляемого удостоверения с помощью Azure CLI

Используйте Azure CLI для создания нового кэша с управляемым удостоверением или обновления существующего кэша для использования управляемого удостоверения. Дополнительные сведения см. в статье az redis create или az redis identity.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, выполните следующую команду CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Включение управляемого удостоверения с помощью Azure PowerShell

Используйте Azure PowerShell для создания нового кэша с управляемым удостоверением или обновления существующего кэша для использования управляемого удостоверения. Дополнительные сведения см. в статье New-AzRedisCache или Set-AzRedisCache.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, выполните следующую команду PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Настройка учетной записи хранения для использования управляемого удостоверения

Внимание

Управляемое удостоверение должно быть настроено в учетной записи хранения, прежде чем Кэш Azure для Redis сможет получить доступ к учетной записи для функциональности сохраняемости, импорта или экспорта. Если этот шаг выполняется неправильно, будут отображаться ошибки или данные не будут записаны.

  1. Создайте учетную запись хранения или откройте уже существующую, которую хотите подключить к экземпляру кэша.

  2. В меню ресурсов откройте Управление доступом (IAM). Затем выберите Добавить и Добавить назначение ролей.

    Снимок экрана: параметры управления доступом (IAM).

  3. В области ролей найдите Участник для данных BLOB-объектов хранилища. Выберите и нажмите кнопку Далее.

    Снимок экрана: форма добавления назначения ролей со списком ролей.

  4. Выберите вкладку Участники. В разделе Назначение доступа к выберите Управляемое удостоверение и щелкните Выбрать участников. Боковая панель появится рядом с рабочей областью.

    Снимок экрана: форма добавления назначения ролей со панелью участников.

  5. Раскрывающийся список Управляемое удостоверение используется для выбора управляемого удостоверения, назначаемого пользователем или управляемого удостоверения, назначаемого системой. Если вы имеете много управляемых удостоверений, можете выполнять поиск по имени. Выберите нужные вам удостоверения и нажмите кнопку Выбрать. Затем для подтверждения —Проверка + назначение.

    Снимок экрана: форма управляемого удостоверения, где указано управляемое удостоверение, назначаемое пользователем.

  6. Можете подтвердить, успешно ли было назначено удостоверение, путем проверки назначений ролей учетной записи хранения в разделе Участник для данных BLOB-объектов хранилища.

    Снимок экрана: список пользователей с ролью

Примечание.

Для экспорта для работы с учетной записью хранения с исключениями брандмауэра необходимо:

Если вы не используете управляемое удостоверение и вместо этого авторизации учетной записи хранения с ключом, то при наличии исключений брандмауэра в учетной записи хранения прерывается процесс сохраняемости и процессы импорта.

Использование управляемого удостоверения для доступа в учетную запись хранения

Использование управляемого удостоверения для сохраняемости данных

  1. Откройте экземпляр Кэша Azure для Redis, которому была назначена роль участника данных BLOB-объектов хранилища, и в меню ресурсов выберите Сохраняемость данных.

  2. Измените метод проверки подлинности на управляемое удостоверение и выберите учетную запись хранения, настроенную ранее в статье. Щелкните Save (Сохранить).

    Снимок экрана: область сохраняемости данных с выбранным методом проверки подлинности.

    Внимание

    Удостоверением по умолчанию является удостоверение, назначаемое системой, если включено. В противном случае используется первое по списку удостоверение, указанное пользователем.

  3. Резервные копии сохраняемости данных теперь можно сохранять в учетной записи хранения с использованием проверки подлинности с помощью управляемых удостоверений.

    Снимок экрана: экспорт данных в меню

Использование управляемого удостоверения для импорта и экспорта данных кэша

  1. Откройте экземпляр Кэша Azure для Redis, которому была назначена роль участника данных BLOB-объектов хранилища, затем нажмите вкладку Импорт или Экспорт в разделе Администрирование.

  2. При импорте данных выберите место хранения BLOB-объектов, в котором находится выбранный файл RDB. При экспорте данных введите нужный префикс имени BLOB-объекта и контейнер хранилища. В обеих ситуациях вам нужно использовать учетную запись хранения, которую вы настроили для доступа к управляемому удостоверению.

    Снимок экрана: выбор управляемого удостоверения.

  3. В разделе Способ проверки подлинности выберите Управляемое удостоверение, а затем Импорт или Экспорт.

Примечание.

Импорт или экспорт данных займет несколько минут.

Внимание

Если вы видите ошибку экспорта или импорта, тщательно проверьте, настроена ли ваша учетная запись хранения с использованием удостоверения кэша, назначаемого системой или пользователем. Используемым по умолчанию будет удостоверение, назначаемое системой, если включено. В противном случае используется первое по списку удостоверение, указанное пользователем.

Связанный контент