Como usar as identidades gerenciadas com a Sincronização de Arquivos do Azure (versão prévia)
O suporte da Sincronização de Arquivos do Azure para identidades gerenciadas atribuídas pelo sistema agora está na versão prévia.
O suporte das identidades gerenciadas elimina a necessidade de chaves compartilhadas como um método de autenticação utilizando uma identidade gerenciada atribuída pelo sistema fornecida pelo Microsoft Entra ID.
Quando você habilita esta configuração, as identidades gerenciadas atribuídas pelo sistema serão usadas para os seguintes cenários:
- Autenticação do Serviço de Sincronização de Armazenamento para o compartilhamento de arquivos do Azure
- Autenticação de servidor registrada no compartilhamento de arquivos do Azure
- Autenticação de servidor registrada no Serviço de Sincronização de Armazenamento
Para saber mais sobre os benefícios de usar identidades gerenciadas, confira Identidades gerenciadas para recursos do Azure.
Para configurar a implantação da Sincronização de Arquivos do Azure e utilizar as identidades gerenciadas atribuídas pelo sistema, siga as diretrizes nas próximas seções.
Pré-requisitos
Você precisa ter um Serviço de sincronização de armazenamento implantado com pelo menos um servidor registrado.
O agente da Sincronização de Arquivos do Azure versão 19.1.0.0 ou posterior deve ser instalado no servidor registrado.
Em suas contas de armazenamento usadas pela Sincronização de Arquivos do Azure:
- Você deve ser membro da função de gerenciamento Proprietário ou ter as permissões “Microsoft.Authorization/roleassignments/write”.
- Permita que os serviços do Azure nos serviços confiáveis acessem essa conta de armazenamento; a exceção deve ser habilitada para a versão prévia. Saiba mais
- A permissão do acesso à chave da conta de armazenamento deve estar habilitada para a versão prévia. Para verificar essa configuração, navegue até sua conta de armazenamento e selecione Configuração na seção Configurações.
O módulo Az.StorageSync do PowerShell versão 2.2.0 ou posterior deve estar instalado no computador que será usado para configurar a Sincronização de Arquivos do Azure para usar as identidades gerenciadas. Para instalar o módulo Az.StorageSync do PowerShell mais recente, execute o seguinte comando em uma janela PowerShell elevada:
Install-Module Az.StorageSync -Force
Disponibilidade regional
O suporte da Sincronização de Arquivos do Azure para as identidades gerenciadas atribuídas pelo sistema (versão prévia) está disponível em todas as regiões públicas e do governo do Azure com suporte para a Sincronização de Arquivos do Azure.
Habilitar uma identidade gerenciada atribuída pelo sistema em seus servidores registrados
Antes de conseguir configurar a Sincronização de Arquivos do Azure para usar identidades gerenciadas, seus servidores registrados devem ter uma identidade gerenciada atribuída pelo sistema que será usada para autenticar o serviço Sincronização de Arquivos do Azure e os compartilhamentos de arquivos do Azure.
Para habilitar uma identidade gerenciada atribuída pelo sistema em um servidor registrado que tem o agente da Sincronização de Arquivos do Azure v19 instalado, execute as seguintes etapas:
- Se o servidor estiver hospedado fora do Azure, ele deve ser um servidor habilitado para Azure Arc para ter uma identidade gerenciada atribuída pelo sistema. Para ter mais informações sobre os servidores habilitados para Azure Arc e como Instalar o agente do Azure Connected Machine, consulte: Visão geral dos servidores habilitados para Azure Arc.
- Se o servidor for uma máquina virtual do Azure, habilite a configuração da identidade gerenciada atribuída pelo sistema na VM. Para obter mais informações, consulte Configurar identidades gerenciadas nas máquinas virtuais do Azure.
Observação
- Pelo menos um servidor registrado deve ter uma identidade gerenciada atribuída pelo sistema antes de você conseguir configurar o Serviço de sincronização de armazenamentos para usar uma identidade atribuída pelo sistema.
- Quando o Serviço de sincronização de armazenamentos estiver configurado para usar as identidades gerenciadas, os servidores registrados que não têm uma identidade gerenciada atribuída pelo sistema continuarão a usar uma chave compartilhada para autenticar seus compartilhamentos de arquivos do Azure.
Como verificar se seus servidores registrados têm uma identidade gerenciada atribuída pelo sistema
Para verificar se seus servidores registrados têm uma identidade gerenciada atribuída pelo sistema, execute o seguinte comando PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verifique se a propriedade LatestApplicationId tem uma GUID indicando que o servidor tem uma identidade gerenciada atribuída pelo sistema, mas não está configurada atualmente para usar a identidade gerenciada.
Se o valor da propriedade ActiveAuthType é Certificado e LatestApplicationId não tem uma GUID, o servidor não tem uma identidade gerenciada atribuída pelo sistema e usará chaves compartilhadas para autenticar o compartilhamento de arquivos do Azure.
Observação
Quando o servidor estiver configurado para usar a identidade gerenciada atribuída pelo sistema seguindo as etapas na próxima seção, a propriedade LatestApplicationId não será mais usada (estará vazia), o valor da propriedade ActiveAuthType mudará para ManagedIdentity e a propriedade ApplicationId terá uma GUID que é a identidade gerenciada atribuída pelo sistema.
Configurar a implantação da Sincronização de Arquivos do Azure para usar as identidades gerenciadas atribuídas pelo sistema
Para configurar o Serviço de sincronização de armazenamentos e os servidores registrados e usar as identidades gerenciadas atribuídas pelo sistema, execute o seguinte comando em uma janela PowerShell elevada:
Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose
O cmdlet Set-AzStorageSyncServiceIdentity executa as seguintes etapas e levará alguns minutos (ou mais para as topologias maiores) até concluir:
- Valida pelo menos um servidor registrado que tem uma identidade gerenciada atribuída pelo sistema.
- O cmdlet irá parar nesta etapa se não houver servidores registrados com uma identidade gerenciada atribuída pelo sistema.
- Habilita uma identidade gerenciada atribuída pelo sistema para o recurso Serviço de sincronização de armazenamentos.
- Concede o acesso da identidade gerenciada atribuída pelo sistema do Serviço de sincronização de armazenamentos às Contas de armazenamento (função Colaborador da conta de armazenamento).
- Concede o acesso da identidade gerenciada atribuída pelo sistema do Serviço de sincronização de armazenamentos aos compartilhamentos de arquivos do Azure (função Colaborador privilegiado dos dados dos arquivos de armazenamento).
- Concede o acesso da identidade gerenciada atribuída pelo sistema do(s) servidor(es) aos compartilhamentos de arquivos do Azure (função Colaborador privilegiado dos dados dos arquivos de armazenamento).
- Configura o Serviço de sincronização de armazenamentos para usar a identidade gerenciada atribuída pelo sistema.
- Configura o(s) servidor(es) registrado(s) para usar a identidade gerenciada atribuída pelo sistema.
Use o cmdlet Set-AzStorageSyncServiceIdentity sempre que precisar configurar servidores registrados extras para usar as identidades gerenciadas.
Observação
Quando o(s) servidor(es) registrado(s) for(em) configurado(s) para usar a identidade gerenciada atribuída pelo sistema, pode levar até uma hora para que o servidor use a identidade para autenticar o Serviço de sincronização de armazenamentos e os compartilhamentos de arquivo.
Como verificar se o Serviço de sincronização de armazenamentos está usando uma identidade gerenciada atribuída pelo sistema
Para verificar se o Serviço de sincronização de armazenamentos está usando a identidade gerenciada atribuída pelo sistema, execute o seguinte comando em uma janela PowerShell elevada:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Verifique se o valor da propriedade UseIdentity é True. Se o valor for False, o Serviço de sincronização de armazenamentos está usando chaves compartilhadas para autenticar os compartilhamentos de arquivos do Azure.
Como verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema
Para verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída pelo sistema, execute o seguinte comando em uma janela PowerShell elevada:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Verifique se a propriedade ApplicationId tem uma GUID indicando que o servidor está configurado para usar a identidade gerenciada. O valor da propriedade ActiveAuthType será atualizado para ManagedIdentity assim que o servidor estiver usando a identidade gerenciada atribuída pelo sistema.
Observação
Quando o(s) servidor(es) registrado(s) for(em) configurado(s) para usar a identidade gerenciada atribuída pelo sistema, pode levar até uma hora para que o servidor use a identidade para autenticar o Serviço de sincronização de armazenamentos e os compartilhamentos de arquivo do Azure.
Mais informações
Quando o Serviço de sincronização de armazenamentos e o(s) servidor(es) registrado(s) estiverem configurados para usar uma identidade gerenciada atribuída pelo sistema:
- Os novos pontos de extremidade (nuvem ou servidor) criados usarão uma Identidade gerenciada atribuída pelo sistema para autenticar o compartilhamento de arquivos do Azure.
- Use o cmdlet Set-AzStorageSyncServiceIdentity sempre que precisar configurar servidores registrados extras para usar as identidades gerenciadas.
Se você tiver problemas, consulte: Solucionar problemas de identidade gerenciada da Sincronização de Arquivos do Azure.