Tożsamość zarządzana dla magazynu
Tożsamości zarządzane to typowe narzędzie używane na platformie Azure, które pomaga deweloperom zminimalizować obciążenie związane z zarządzaniem wpisami tajnymi i informacjami logowania. Tożsamości zarządzane są przydatne, gdy usługi platformy Azure łączą się ze sobą. Zamiast zarządzać autoryzacją między każdą usługą, identyfikator Entra firmy Microsoft może służyć do zapewnienia tożsamości zarządzanej, która sprawia, że proces uwierzytelniania jest bardziej usprawniony i bezpieczny.
Używanie tożsamości zarządzanej z kontami magazynu
Obecnie usługa Azure Cache for Redis może używać tożsamości zarządzanej do nawiązywania połączenia z kontem magazynu, co jest przydatne w dwóch scenariuszach:
Trwałość danych — zaplanowane kopie zapasowe danych w pamięci podręcznej za pośrednictwem pliku RDB lub AOF.
Importowanie lub eksportowanie migawek danych pamięci podręcznej lub importowanie danych z zapisanego pliku.
Tożsamość zarządzana pozwala uprościć proces bezpiecznego nawiązywania połączenia z wybranym kontem magazynu dla tych zadań.
Usługa Azure Cache for Redis obsługuje oba typy tożsamości zarządzanej:
Tożsamość przypisana przez system jest specyficzna dla zasobu. W takim przypadku pamięć podręczna jest zasobem. Po usunięciu pamięci podręcznej tożsamość zostanie usunięta.
Tożsamość przypisana przez użytkownika jest specyficzna dla użytkownika, a nie zasobu. Można go przypisać do dowolnego zasobu obsługującego tożsamość zarządzaną, a nawet po usunięciu pamięci podręcznej.
Każdy typ tożsamości zarządzanej ma zalety, ale w usłudze Azure Cache for Redis funkcjonalność jest taka sama.
Włączanie tożsamości zarządzanej
Tożsamość zarządzana można włączyć podczas tworzenia wystąpienia pamięci podręcznej lub po utworzeniu pamięci podręcznej. Podczas tworzenia pamięci podręcznej można przypisać tylko tożsamość przypisaną przez system. Do istniejącej pamięci podręcznej można dodać dowolny typ tożsamości.
Zakres dostępności
| Warstwa | Podstawowa, Standardowa | Premium | Enterprise, Enterprise Flash |
|---|---|---|---|
| Dostępny | Nie. | Tak | Nie. |
Wymagania wstępne i ograniczenia
Tożsamość zarządzana dla magazynu jest używana tylko z funkcją importowania/eksportowania i funkcją trwałości, która ogranicza jej użycie do warstwy Premium usługi Azure Cache for Redis.
Tworzenie nowej pamięci podręcznej z tożsamością zarządzaną przy użyciu portalu
Zaloguj się w witrynie Azure Portal.
Utwórz nowy zasób usługi Azure Cache for Redis z typem pamięci podręcznej dowolnej z warstw Premium. Ukończ kartę Podstawowe ze wszystkimi wymaganymi informacjami.
Wybierz kartę Zaawansowane . Następnie przewiń w dół do pozycji Tożsamość zarządzana przypisana przez system i wybierz pozycję Włączone.
Ukończ proces tworzenia. Po utworzeniu i wdrożeniu pamięci podręcznej otwórz ją, a następnie wybierz kartę Tożsamość w sekcji Ustawienia po lewej stronie. Zobaczysz, że identyfikator obiektu przypisanego przez system został przypisany do tożsamości pamięci podręcznej.
Dodawanie tożsamości przypisanej przez system do istniejącej pamięci podręcznej
Przejdź do zasobu usługi Azure Cache for Redis z witryny Azure Portal. Wybierz pozycję Tożsamość z menu Zasób po lewej stronie.
Aby włączyć tożsamość przypisaną przez system, wybierz kartę Przypisane przez system, a następnie wybierz pozycję Wł . w obszarze Stan. Wybierz pozycję Zapisz , aby potwierdzić.
Zostanie wyświetlone okno dialogowe z informacją, że pamięć podręczna zostanie zarejestrowana przy użyciu identyfikatora Entra firmy Microsoft i że można mu udzielić uprawnień dostępu do zasobów chronionych przez identyfikator entra firmy Microsoft. Wybierz opcję Tak.
Zostanie wyświetlony identyfikator obiektu (podmiot zabezpieczeń) wskazujący, że tożsamość została przypisana.
Dodawanie tożsamości przypisanej przez użytkownika do istniejącej pamięci podręcznej
Przejdź do zasobu usługi Azure Cache for Redis z witryny Azure Portal. Wybierz pozycję Tożsamość z menu Zasób po lewej stronie.
Aby włączyć tożsamość przypisaną przez użytkownika, wybierz kartę Przypisane przez użytkownika i wybierz pozycję Dodaj.
Zostanie wyświetlony pasek boczny, aby umożliwić wybranie dowolnej dostępnej tożsamości przypisanej przez użytkownika do subskrypcji. Wybierz tożsamość i wybierz pozycję Dodaj. Aby uzyskać więcej informacji na temat tożsamości zarządzanych przypisanych przez użytkownika, zobacz zarządzanie tożsamością przypisaną przez użytkownika.
Uwaga
Musisz utworzyć tożsamość przypisaną przez użytkownika przed wykonaniem tego kroku.
Zostanie wyświetlona tożsamość przypisana przez użytkownika w okienku Przypisane przez użytkownika.
Włączanie tożsamości zarządzanej przy użyciu interfejsu wiersza polecenia platformy Azure
Użyj interfejsu wiersza polecenia platformy Azure do utworzenia nowej pamięci podręcznej z tożsamością zarządzaną lub zaktualizowania istniejącej pamięci podręcznej do korzystania z tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz az redis create lub az redis identity.
Na przykład aby zaktualizować pamięć podręczną do używania tożsamości zarządzanej przez system, użyj następującego polecenia interfejsu wiersza polecenia:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Włączanie tożsamości zarządzanej przy użyciu programu Azure PowerShell
Użyj programu Azure PowerShell do utworzenia nowej pamięci podręcznej z tożsamością zarządzaną lub zaktualizowania istniejącej pamięci podręcznej do korzystania z tożsamości zarządzanej. Aby uzyskać więcej informacji, zobacz New-AzRedisCache lub Set-AzRedisCache.
Aby na przykład zaktualizować pamięć podręczną do korzystania z tożsamości zarządzanej przez system, użyj następującego polecenia programu PowerShell:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Konfigurowanie konta magazynu do korzystania z tożsamości zarządzanej
Ważne
Tożsamość zarządzana musi być skonfigurowana na koncie magazynu, zanim usługa Azure Cache for Redis będzie mogła uzyskać dostęp do konta w celu zapewnienia trwałości lub funkcji importowania/eksportowania. Jeśli ten krok nie zostanie wykonany poprawnie, zobaczysz błędy lub nie zapisano żadnych danych.
Utwórz nowe konto magazynu lub otwórz istniejące konto magazynu, które chcesz połączyć z wystąpieniem pamięci podręcznej.
Otwórz pozycję Kontrola dostępu (IAM) z menu Zasób. Następnie wybierz pozycję Dodaj i Dodaj przypisanie roli.
Wyszukaj pozycję Współautor danych obiektu blob usługi Storage w okienku Rola. Wybierz go i Dalej.
Wybierz kartę Członkowie . W obszarze Przypisz dostęp do wybierz pozycję Tożsamość zarządzana, a następnie wybierz pozycję Wybierz członków. Pasek boczny zostanie wyświetlony obok okienka roboczego.
Użyj listy rozwijanej w obszarze Tożsamość zarządzana, aby wybrać tożsamość zarządzaną przypisaną przez użytkownika lub tożsamość zarządzaną przypisaną przez system. Jeśli masz wiele tożsamości zarządzanych, możesz wyszukiwać według nazwy. Wybierz żądane tożsamości zarządzane, a następnie wybierz pozycję Wybierz. Następnie przejrzyj i przypisz, aby potwierdzić.
Możesz sprawdzić, czy tożsamość została pomyślnie przypisana, sprawdzając przypisania ról konta magazynu w obszarze Współautor danych obiektu blob usługi Storage.
Uwaga
Aby wyeksportować do pracy z kontem magazynu z wyjątkami zapory, należy:
- dodawanie wystąpienia usługi Azure Cache for Redis jako współautora danych obiektu blob magazynu za pomocą tożsamości przypisanej przez system i
- Zaznacz pole wyboru Zezwalaj usługom platformy Azure na liście zaufanych usług, aby uzyskać dostęp do tego konta magazynu.
Jeśli nie używasz tożsamości zarządzanej i zamiast tego autoryzujesz konto magazynu z kluczem, wyjątki zapory na koncie magazynu przerywają proces trwałości i proces importowania eksportu.
Uzyskiwanie dostępu do konta magazynu przy użyciu tożsamości zarządzanej
Używanie tożsamości zarządzanej z trwałością danych
Otwórz wystąpienie usługi Azure Cache for Redis, do którego przypisano rolę Współautor danych obiektu blob usługi Storage i przejdź do pozycji Trwałość danych w menu Zasób.
Zmień metodę uwierzytelniania na Tożsamość zarządzana i wybierz konto magazynu skonfigurowane wcześniej w artykule. wybierz pozycję Zapisz.
Ważne
Tożsamość jest domyślnie ustawiona na tożsamość przypisaną przez system, jeśli jest włączona. W przeciwnym razie jest używana pierwsza tożsamość przypisana przez użytkownika.
Kopie zapasowe trwałości danych można teraz zapisywać na koncie magazynu przy użyciu uwierzytelniania tożsamości zarządzanej.
Importowanie i eksportowanie danych pamięci podręcznej przy użyciu tożsamości zarządzanej
Otwórz wystąpienie usługi Azure Cache for Redis, do którego przypisano rolę Współautor danych obiektu blob usługi Storage i przejdź do karty Importowanie lub eksportowanie w obszarze Administracja.
W przypadku importowania danych wybierz lokalizację magazynu obiektów blob, która zawiera wybrany plik RDB. W przypadku eksportowania danych wpisz żądany prefiks nazwy obiektu blob i kontener magazynu. W obu sytuacjach musisz użyć konta magazynu skonfigurowanego do uzyskiwania dostępu do tożsamości zarządzanej.
W obszarze Metoda uwierzytelniania wybierz pozycję Tożsamość zarządzana i wybierz odpowiednio pozycję Importuj lub Eksportuj.
Uwaga
Importowanie lub eksportowanie danych potrwa kilka minut.
Ważne
Jeśli zostanie wyświetlony błąd eksportu lub importu, sprawdź dokładnie, czy konto magazynu zostało skonfigurowane przy użyciu przypisanej przez system lub przypisanej przez użytkownika tożsamości pamięci podręcznej. Używana tożsamość będzie domyślnie używana do tożsamości przypisanej przez system, jeśli jest włączona. W przeciwnym razie jest używana pierwsza tożsamość przypisana przez użytkownika.
Powiązana zawartość
- Dowiedz się więcej o funkcjach usługi Azure Cache for Redis
- Co to są tożsamości zarządzane