Identidade gerenciada para armazenamento
As identidades gerenciadas são uma ferramenta comum usada no Azure para ajudar os desenvolvedores a minimizar a carga de gerenciar segredos e informações de entrada. As identidades gerenciadas são úteis quando os serviços do Azure se conectam entre si. Em vez de gerenciar a autorização para cada serviço, o Microsoft Entra ID pode ser usado para fornecer uma identidade gerenciada que torna o processo de autenticação mais simplificado e mais seguro.
Usar identidade gerenciada com contas de armazenamento
Atualmente, o Cache do Azure para Redis pode usar uma identidade gerenciada para se conectar a uma conta de armazenamento, útil em dois cenários:
Persistência de dados--backups agendados de dados em seu cache por meio de um arquivo RDB ou AOF.
Importar ou exportar--salvando instantâneos de dados de cache ou importando dados de um arquivo salvo.
A identidade gerenciada permite simplificar o processo de conexão segura com a conta de armazenamento escolhida para essas tarefas.
O Cache do Azure para Redis dá suporte a ambos os tipos de identidade gerenciada:
A identidade atribuída pelo sistema é específica do recurso. Nesse caso, o cache é o recurso. Quando o cache é excluído, a identidade é excluída.
A identidade atribuída pelo usuário é específica para um usuário, não para o recurso. Ele pode ser atribuído a qualquer recurso que dê suporte à identidade gerenciada e permaneça mesmo quando você excluir o cache.
Cada tipo de identidade gerenciada tem vantagens, mas no Cache do Azure para Rediss, a funcionalidade é a mesma.
Habilitar a identidade gerenciada
A identidade gerenciada pode ser habilitada quando você cria uma instância de cache ou após a criação do cache. Durante a criação de um cache, somente uma identidade atribuída pelo sistema pode ser atribuída. Qualquer tipo de identidade pode ser adicionado a um cache existente.
Escopo de disponibilidade
Camada | Básico, Standard | Premium | Enterprise, Enterprise Flash |
---|---|---|---|
Disponível | Não | Sim | Não |
Pré-requisitos e limitações
A identidade gerenciada para armazenamento é usada apenas com o recurso de importação/exportação e recurso de persistência agora, o que limita seu uso à camada Premium do Cache do Azure para Redis.
Criar um novo cache com identidade gerenciada usando o portal
Entre no portal do Azure.
Crie um novo recurso de Cache do Azure para Redis com um tipo de cache de qualquer uma das camadas Premium. Complete a guia Básico, com todas as informações necessárias.
Selecione a guia Avançado, role para baixo até Identidade gerenciada atribuída pelo sistema e clique em Ativado.
Conclua o processo de criação. Depois da criação e implantação do cache, abra-o e selecione a guia Identidade na seção Configurações à esquerda. Você verá que uma ID de objeto atribuída pelo sistema foi atribuída à identidadedo cache.
Adicionar identidade atribuída ao sistema a um cache existente
Navegue até o recurso de Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.
Para habilitar uma identidade atribuída pelo sistema, selecione a guia Atribuído pelo sistema e clique em Ativado em Status. Selecione Salvar para confirmar.
Uma caixa de diálogo aparece informando que seu cache será registrado no Microsoft Entra ID e poderá receber permissões para acessar os recursos protegidos pelo Microsoft Entra ID. Selecione Sim.
Você vê uma ID de objeto (principal), indicando que a identidade foi atribuída.
Adicionar uma identidade atribuída pelo usuário a uma cache existente
Navegue até o recurso de Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.
Para habilitar a identidade atribuída pelo usuário, selecione a guia Atribuído pelo usuário e clique em Adicionar.
Uma barra lateral é exibida para permitir que você selecione qualquer identidade disponível atribuída pelo usuário à sua assinatura. Escolha uma identidade e selecione Adicionar. Para obter mais informações sobre as identidades gerenciadas atribuídas pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.
Observação
Você precisa criar uma identidade atribuída pelo usuário com antecedência nesta etapa.
Você verá a identidade atribuída pelo usuário listada no painel Atribuído pelo usuário.
Habilitar a identidade gerenciada usando a CLI do Azure
Use a CLI do Azure para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte AZ Redis Create ou AZ Redis Identity.
Por exemplo, para atualizar um cache para usar identidade gerenciada pelo sistema, use o seguinte comando da CLI:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Habilitar identidade gerenciada usando o Azure PowerShell
Use o Azure PowerShell para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte New-AzRedisCache ou set-AzRedisCache.
Por exemplo, para atualizar um cache para usar identidade gerenciada pelo sistema, use o seguinte comando do PowerShelI:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Configurar a conta de armazenamento para usar identidade gerenciada
Importante
A identidade gerenciada deve ser configurada na conta de armazenamento antes que o Cache do Azure para Redis possa acessar a conta para persistência ou funcionalidade de importação/exportação. Se essa etapa não for feita corretamente, você verá erros ou nenhum dado gravado.
Crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você deseja conectar à sua instância de cache.
Abra o Controle de acesso (IAM) no menu de Recursos. Em seguida, selecione Adicionar e Adicionar atribuição de função.
Pesquise por Colaborador de Dados de Armazenamento de BLOBs no painel Função. Selecione-o e Avançar.
Selecione a guia Membros. Em AtribuirAtribuir acesso a, selecione Identidade Gerenciada e selecione em Selecionar membros. Uma barra lateral aparece ao lado do painel de trabalho.
Use a lista suspensa em Identidade gerenciada para escolher uma Identidade gerenciada atribuída pelo usuário ou uma Identidade gerenciada atribuída pelo sistema. Se você tiver muitas identidades gerenciadas, poderá pesquisar por nome. Escolha as identidades gerenciadas que você deseja e, em seguida, Selecione. Em seguida, Examine + atribuir para confirmar.
É possível confirmar se a identidade foi atribuída com êxito verificando as atribuições de função da sua conta de armazenamento em Colaborador de Dados de Armazenamento de BLOBs.
Observação
Para que a exportação funcione com uma conta de armazenamento com exceções de firewall, você deve:
- adicionar uma instância do Cache do Azure para Redis como colaboradora de dados do blob de armazenamento por meio da identidade atribuída pelo sistema e
- marcar Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento .
Se você não estiver usando a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação e exportação.
Usar a identidade gerenciada para acessar a conta de armazenamento
Usar identidade gerenciada com persistência de dados
Abra a instância de Cache do Azure para Redis que recebeu a função de Colaborador de Dados de Armazenamento de BLOBs e acesse a Persistência de dados no menu de Recursos.
Altere o Método de Autenticação para Identidade Gerenciada e selecione a conta de armazenamento que você configurou anteriormente no artigo. Selecione Salvar.
Importante
A identidade usa como padrão a identidade atribuída pelo sistema se ela estiver habilitada. Caso contrário, a primeira identidade de listada atribuída pelo usuário será usada.
Os backups de persistência de dados agora podem ser salvos na conta de armazenamento usando a autenticação de identidade gerenciada.
Usar identidade gerenciada para importar e exportar dados de cache
Abra o Cache do Azure para a instância Redis que recebeu a função de Colaborador de Dados de Armazenamento de BLOBs e acesse a guia Importar ou Exportar em Administração.
Se importar dados, escolha o local de Armazenamento de BLOBs que contém o arquivo RDB escolhido. Se estiver exportando dados, digite o prefixo de nome de blob desejado e o contêiner de armazenamento. Em ambas as situações, você deve usar a conta de armazenamento que você configurou para acesso de identidade gerenciada.
Em Método de autenticação, escolha Identidade gerenciada e selecione Importar ou Exportar, respectivamente.
Observação
Levará alguns minutos para importar ou exportar os dados.
Importante
Se você vir uma falha de exportação ou importação, verifique se sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo usuário do cache. A identidade usada padrão será a identidade atribuída pelo sistema se ela estiver habilitada. Caso contrário, a primeira identidade de listada atribuída pelo usuário será usada.
Conteúdo relacionado
- Saiba mais sobre os recursos de Cache do Azure para Redis
- O que são identidades gerenciadas