Identidade gerenciada para armazenamento
As identidades gerenciadas são uma ferramenta comum usada no Azure para ajudar os desenvolvedores a minimizar a carga de gerenciamento de segredos e informações de entrada. As identidades gerenciadas são úteis quando os serviços do Azure se conectam uns aos outros. Em vez de gerenciar a autorização entre cada serviço, o Microsoft Entra ID pode ser usado para fornecer uma identidade gerenciada que torna o processo de autenticação mais simplificado e seguro.
Usar identidade gerenciada com contas de armazenamento
Atualmente, o Cache Redis do Azure pode usar uma identidade gerenciada para se conectar a uma conta de armazenamento, útil em dois cenários:
Persistência de dados - backups agendados de dados em seu cache por meio de um arquivo RDB ou AOF.
Importar ou exportar - salvando instantâneos de dados de cache ou importando dados de um arquivo salvo.
A identidade gerenciada permite simplificar o processo de conexão segura à conta de armazenamento escolhida para essas tarefas.
O Cache Redis do Azure dá suporte aos dois tipos de identidade gerenciada:
A identidade atribuída ao sistema é específica para o recurso. Nesse caso, o cache é o recurso. Quando o cache é excluído, a identidade é excluída.
A identidade atribuída pelo usuário é específica de um usuário, não do recurso. Ele pode ser atribuído a qualquer recurso que ofereça suporte à identidade gerenciada e permanece mesmo quando você exclui o cache.
Cada tipo de identidade gerenciada tem vantagens, mas no Cache do Azure para Redis, a funcionalidade é a mesma.
Ativar a identidade gerida
A identidade gerenciada pode ser habilitada quando você cria uma instância de cache ou após a criação do cache. Durante a criação de um cache, apenas uma identidade atribuída ao sistema pode ser atribuída. Qualquer tipo de identidade pode ser adicionado a um cache existente.
Âmbito da disponibilidade
Escalão de serviço | Básico, Standard | Premium | Empresa, Enterprise Flash |
---|---|---|---|
Disponível | Não | Sim | No |
Pré-requisitos e limitações
A identidade gerenciada para armazenamento só é usada com o recurso de importação/exportação e o recurso de persistência agora, o que limita seu uso à camada Premium do Cache do Azure para Redis.
Criar um novo cache com identidade gerenciada usando o portal
Inicie sessão no portal do Azure.
Crie um novo recurso do Cache do Azure para Redis com um tipo de Cache de qualquer uma das camadas premium. Preencha a guia Noções básicas com todas as informações necessárias.
Selecione a guia Avançado. Em seguida, role para baixo até Identidade gerenciada atribuída ao sistema e selecione Ativado.
Conclua o processo de criação. Depois que o cache tiver sido criado e implantado, abra-o e selecione a guia Identidade na seção Configurações à esquerda. Você vê que um ID de objeto atribuído pelo sistema foi atribuído à Identidade do cache.
Adicionar identidade atribuída ao sistema a um cache existente
Navegue até o recurso Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.
Para habilitar uma identidade atribuída pelo sistema, selecione a guia Sistema atribuído e selecione Ativado em Status. Selecione Salvar para confirmar.
Uma caixa de diálogo aparece dizendo que seu cache será registrado com o Microsoft Entra ID e que ele pode receber permissões para acessar recursos protegidos pelo Microsoft Entra ID. Selecione Yes (Sim).
Você verá uma ID de objeto (principal), indicando que a identidade foi atribuída.
Adicionar uma identidade atribuída ao usuário a um cache existente
Navegue até o recurso Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.
Para habilitar a identidade atribuída ao usuário, selecione a guia Usuário atribuído e selecione Adicionar.
Uma barra lateral aparece para permitir que você selecione qualquer identidade atribuída pelo usuário disponível para sua assinatura. Escolha uma identidade e selecione Adicionar. Para obter mais informações sobre identidades gerenciadas atribuídas pelo usuário, consulte gerenciar identidade atribuída pelo usuário.
Nota
Você precisa criar uma identidade atribuída ao usuário antes desta etapa.
Você vê a identidade atribuída pelo usuário listada no painel Usuário atribuído .
Habilitar identidade gerenciada usando a CLI do Azure
Use a CLI do Azure para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte az redis create ou az redis identity.
Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando da CLI:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Habilitar identidade gerenciada usando o Azure PowerShell
Use o Azure PowerShell para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte New-AzRedisCache ou Set-AzRedisCache.
Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando do PowerShell:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Configurar a conta de armazenamento para usar a identidade gerenciada
Importante
A identidade gerenciada deve ser configurada na conta de armazenamento antes que o Cache Redis do Azure possa acessar a conta para persistência ou funcionalidade de importação/exportação. Se esta etapa não for feita corretamente, você verá erros ou nenhum dado gravado.
Crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você gostaria de conectar à sua instância de cache.
Abra o controle de acesso (IAM) no menu Recurso. Em seguida, selecione Adicionar e Adicionar atribuição de função.
Procure o Colaborador de Dados de Blob de Armazenamento no painel Função. Selecione-o e Avançar.
Selecione a guia Membros . Em Atribuir acesso para selecionar Identidade Gerenciada e selecione Selecionar membros. Uma barra lateral aparece ao lado do painel de trabalho.
Use a lista suspensa em Identidade gerenciada para escolher uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema. Se você tiver muitas identidades gerenciadas, poderá pesquisar por nome. Escolha as identidades gerenciadas desejadas e, em seguida, Selecionar. Em seguida, Rever + atribuir para confirmar.
Você pode confirmar se a identidade foi atribuída com êxito verificando as atribuições de função da sua conta de armazenamento em Colaborador de Dados de Blob de Armazenamento.
Nota
Para que a exportação funcione com uma conta de armazenamento com exceções de firewall, você deve:
- adicionar uma instância do Cache do Azure para Redis como um contribuidor de dados de blob de armazenamento por meio da identidade atribuída ao sistema, e
- marque Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa conta de armazenamento.
Se você não estiver usando a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação-exportação.
Usar identidade gerenciada para acessar uma conta de armazenamento
Usar identidade gerenciada com persistência de dados
Abra a instância do Cache do Azure para Redis à qual foi atribuída a função de Colaborador de Dados de Blob de Armazenamento e vá para a persistência de dados no menu Recurso.
Altere o Método de Autenticação para Identidade Gerenciada e selecione a conta de armazenamento configurada anteriormente no artigo. selecione Salvar.
Importante
A identidade assume como padrão a identidade atribuída pelo sistema se estiver habilitada. Caso contrário, a primeira identidade atribuída pelo usuário listada será usada.
Os backups de persistência de dados agora podem ser salvos na conta de armazenamento usando a autenticação de identidade gerenciada.
Usar identidade gerenciada para importar e exportar dados de cache
Abra sua instância do Cache do Azure para Redis que recebeu a função de Colaborador de Dados de Blob de Armazenamento e vá para a guia Importar ou Exportar em Administração.
Se estiver importando dados, escolha o local de armazenamento de blob que contém o arquivo RDB escolhido. Se estiver exportando dados, digite o prefixo do nome do blob desejado e o contêiner de armazenamento. Em ambas as situações, você deve usar a conta de armazenamento configurada para acesso de identidade gerenciado.
Em Método de autenticação, escolha Identidade gerenciada e selecione Importar ou Exportar, respectivamente.
Nota
Levará alguns minutos para importar ou exportar os dados.
Importante
Se você vir uma falha de exportação ou importação, verifique se sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo usuário do cache. A identidade usada será padronizada para a identidade atribuída pelo sistema se estiver habilitada. Caso contrário, a primeira identidade atribuída pelo usuário listada será usada.
Conteúdos relacionados
- Saiba mais sobre os recursos do Cache do Azure para Redis
- O que são identidades gerenciadas