Identità gestita per l'archiviazione
Le identità gestite sono uno strumento comune usato in Azure per aiutare gli sviluppatori a ridurre al minimo l'onere della gestione dei segreti e delle informazioni di accesso. Le identità gestite sono utili quando i servizi di Azure si connettono tra loro. Invece di gestire l'autorizzazione tra ogni servizio, è possibile usare Microsoft Entra ID per fornire un'identità gestita che rende il processo di autenticazione più semplificato e sicuro.
Usare l'identità gestita con gli account di archiviazione
Attualmente, cache di Azure per Redis può usare un'identità gestita per connettersi a un account di archiviazione, utile in due scenari:
Backup pianificati per la persistenza dei dati nella cache tramite un file RDB o AOF.
Importare o esportare snapshot di dati della cache o importare dati da un file salvato.
L'identità gestita consente di semplificare il processo di connessione sicura all'account di archiviazione scelto per queste attività.
cache di Azure per Redis supporta entrambi i tipi di identità gestita:
L'identità assegnata dal sistema è specifica della risorsa. In questo caso, la cache è la risorsa. Quando la cache viene eliminata, l'identità viene eliminata.
L'identità assegnata dall'utente è specifica per un utente, non per la risorsa. Può essere assegnato a qualsiasi risorsa che supporta l'identità gestita e rimane anche quando si elimina la cache.
Ogni tipo di identità gestita presenta vantaggi, ma in cache di Azure per Redis la funzionalità è la stessa.
Abilitare l'identità gestita
L'identità gestita può essere abilitata quando si crea un'istanza della cache o dopo la creazione della cache. Durante la creazione di una cache, è possibile assegnare solo un'identità assegnata dal sistema. Entrambi i tipi di identità possono essere aggiunti a una cache esistente.
Ambito della disponibilità
| Livello | Basic e Standard | Premium | Enterprise, Enterprise Flash |
|---|---|---|---|
| Disponibile | No | Sì | No |
Prerequisiti e limitazioni
L'identità gestita per l'archiviazione viene usata solo con la funzionalità di importazione/esportazione e la persistenza, che limita ora l'uso al livello Premium di cache di Azure per Redis.
Creare una nuova cache con identità gestita usando il portale
Accedere al portale di Azure.
Creare una nuova risorsa cache di Azure per Redis con un tipo di cache di uno dei livelli Premium. Completare la scheda Informazioni di base con tutte le informazioni necessarie.
Selezionare la scheda Avanzate . Scorrere quindi verso il basso fino a Identità gestita assegnata dal sistema e selezionare Sì.
Completare il processo di creazione. Dopo aver creato e distribuito la cache, aprirla e selezionare la scheda Identità nella sezione Impostazioni a sinistra. Si noterà che un ID oggetto assegnato dal sistema è stato assegnato all'identità della cache.
Aggiungere un'identità assegnata dal sistema a una cache esistente
Passare alla risorsa cache di Azure per Redis dal portale di Azure. Selezionare Identity (Identità ) dal menu Resource (Risorsa) a sinistra.
Per abilitare un'identità assegnata dal sistema, selezionare la scheda Assegnata dal sistema e selezionare Sì in Stato. Selezionare Salva per confermare.
Viene visualizzata una finestra di dialogo che indica che la cache verrà registrata con Microsoft Entra ID e che può essere concessa le autorizzazioni per accedere alle risorse protette da Microsoft Entra ID. Selezionare Sì.
Viene visualizzato un ID oggetto (entità) che indica che l'identità è stata assegnata.
Aggiungere un'identità assegnata dall'utente a una cache esistente
Passare alla risorsa cache di Azure per Redis dal portale di Azure. Selezionare Identity (Identità ) dal menu Resource (Risorsa) a sinistra.
Per abilitare l'identità assegnata dall'utente, selezionare la scheda Assegnata dall'utente e selezionare Aggiungi.
Viene visualizzata una barra laterale per consentire di selezionare qualsiasi identità assegnata dall'utente disponibile nella sottoscrizione. Scegliere un'identità e selezionare Aggiungi. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Gestire l'identità assegnata dall'utente.
Nota
È necessario creare un'identità assegnata dall'utente prima di questo passaggio.
Viene visualizzata l'identità assegnata dall'utente elencata nel riquadro Assegnato dall'utente .
Abilitare l'identità gestita usando l'interfaccia della riga di comando di Azure
Usare l'interfaccia della riga di comando di Azure per creare una nuova cache con identità gestita o aggiornare una cache esistente per l'uso dell'identità gestita. Per altre informazioni, vedere az redis create o az redis identity.
Ad esempio, per aggiornare una cache per usare l'identità gestita dal sistema, usare il comando dell'interfaccia della riga di comando seguente:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Abilitare l'identità gestita con Azure PowerShell
Usare Azure PowerShell per creare una nuova cache con identità gestita o aggiornare una cache esistente per l'uso dell'identità gestita. Per altre informazioni, vedere New-AzRedisCache o Set-AzRedisCache.
Ad esempio, per aggiornare una cache per usare l'identità gestita dal sistema, usare il comando di PowerShell seguente:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Configurare l'account di archiviazione per l'uso dell'identità gestita
Importante
L'identità gestita deve essere configurata nell'account di archiviazione prima che cache di Azure per Redis possa accedere all'account per la persistenza o la funzionalità di importazione/esportazione. Se questo passaggio non viene eseguito correttamente, vengono visualizzati errori o non vengono scritti dati.
Creare un nuovo account di archiviazione o aprire un account di archiviazione esistente che si vuole connettere all'istanza della cache.
Aprire il controllo di accesso (IAM) dal menu Risorsa. Selezionare quindi Aggiungi e Aggiungi assegnazione di ruolo.
Cercare Collaboratore ai dati dei BLOB di archiviazione nel riquadro Ruolo. Selezionarlo e Avanti.
Selezionare la scheda Membri . In Assegna accesso a selezionare Identità gestita e selezionare Seleziona membri. Viene visualizzata una barra laterale accanto al riquadro di lavoro.
Usare l'elenco a discesa in Identità gestita per scegliere un'identità gestita assegnata dall'utente o un'identità gestita assegnata dal sistema. Se si dispone di molte identità gestite, è possibile cercare in base al nome. Scegliere le identità gestite desiderate e quindi Selezionare. Quindi, Rivedi e assegna per confermare.
È possibile verificare se l'identità è stata assegnata correttamente controllando le assegnazioni di ruolo dell'account di archiviazione in Collaboratore ai dati dei BLOB di archiviazione.
Nota
Affinché l'esportazione funzioni con un account di archiviazione con eccezioni del firewall, è necessario:
- aggiungere un'istanza di cache di Azure per Redis come collaboratore ai dati del BLOB di archiviazione tramite l'identità assegnata dal sistema e
- Selezionare Consenti ai servizi di Azure nell'elenco dei servizi attendibili di accedere a questo account di archiviazione.
Se non si usa l'identità gestita e si autorizza invece un account di archiviazione con una chiave, la presenza di eccezioni del firewall nell'account di archiviazione interrompe il processo di persistenza e i processi di importazione-esportazione.
Usare l'identità gestita per accedere a un account di archiviazione
Usare l'identità gestita con la persistenza dei dati
Aprire l'istanza di cache di Azure per Redis a cui è stato assegnato il ruolo Collaboratore ai dati del BLOB di archiviazione e passare alla persistenza dei dati nel menu Risorsa.
Modificare il metodo di autenticazione in Identità gestita e selezionare l'account di archiviazione configurato in precedenza nell'articolo. Selezionare Salva.
Importante
L'identità viene impostata per impostazione predefinita sull'identità assegnata dal sistema, se abilitata. In caso contrario, viene usata la prima identità assegnata dall'utente elencata.
I backup di persistenza dei dati possono ora essere salvati nell'account di archiviazione usando l'autenticazione dell'identità gestita.
Usare l'identità gestita per importare ed esportare i dati della cache
Aprire l'istanza di cache di Azure per Redis a cui è stato assegnato il ruolo Collaboratore dati BLOB di archiviazione e passare alla scheda Importa o Esporta in Amministrazione.
Se si importano dati, scegliere il percorso di archiviazione BLOB che contiene il file RDB scelto. Se si esportano dati, digitare il prefisso del nome BLOB e il contenitore di archiviazione desiderati. In entrambe le situazioni, è necessario usare l'account di archiviazione configurato per l'accesso alle identità gestite.
In Metodo di autenticazione scegliere Identità gestita e selezionare Rispettivamente Importa o Esporta.
Nota
L'importazione o l'esportazione dei dati richiederà alcuni minuti.
Importante
Se viene visualizzato un errore di esportazione o importazione, verificare che l'account di archiviazione sia stato configurato con l'identità assegnata dal sistema o assegnata dall'utente della cache. L'identità usata per impostazione predefinita sarà l'identità assegnata dal sistema, se abilitata. In caso contrario, viene usata la prima identità assegnata dall'utente elencata.
Contenuto correlato
- Altre informazioni sulle funzionalità di cache di Azure per Redis
- Cosa sono le identità gestite