Partilhar via


Identidade gerenciada para armazenamento

As identidades gerenciadas são uma ferramenta comum usada no Azure para ajudar os desenvolvedores a minimizar a carga de gerenciamento de segredos e informações de entrada. As identidades gerenciadas são úteis quando os serviços do Azure se conectam uns aos outros. Em vez de gerenciar a autorização entre cada serviço, o Microsoft Entra ID pode ser usado para fornecer uma identidade gerenciada que torna o processo de autenticação mais simplificado e seguro.

Usar identidade gerenciada com contas de armazenamento

Atualmente, o Cache Redis do Azure pode usar uma identidade gerenciada para se conectar a uma conta de armazenamento, útil em dois cenários:

  • Persistência de dados - backups agendados de dados em seu cache por meio de um arquivo RDB ou AOF.

  • Importar ou exportar - salvando instantâneos de dados de cache ou importando dados de um arquivo salvo.

A identidade gerenciada permite simplificar o processo de conexão segura à conta de armazenamento escolhida para essas tarefas.

O Cache Redis do Azure dá suporte aos dois tipos de identidade gerenciada:

  • A identidade atribuída ao sistema é específica para o recurso. Nesse caso, o cache é o recurso. Quando o cache é excluído, a identidade é excluída.

  • A identidade atribuída pelo usuário é específica de um usuário, não do recurso. Ele pode ser atribuído a qualquer recurso que ofereça suporte à identidade gerenciada e permanece mesmo quando você exclui o cache.

Cada tipo de identidade gerenciada tem vantagens, mas no Cache do Azure para Redis, a funcionalidade é a mesma.

Ativar a identidade gerida

A identidade gerenciada pode ser habilitada quando você cria uma instância de cache ou após a criação do cache. Durante a criação de um cache, apenas uma identidade atribuída ao sistema pode ser atribuída. Qualquer tipo de identidade pode ser adicionado a um cache existente.

Âmbito da disponibilidade

Escalão de serviço Básico, Standard Premium Empresa, Enterprise Flash
Disponível Não Sim No

Pré-requisitos e limitações

A identidade gerenciada para armazenamento só é usada com o recurso de importação/exportação e o recurso de persistência agora, o que limita seu uso à camada Premium do Cache do Azure para Redis.

Criar um novo cache com identidade gerenciada usando o portal

  1. Inicie sessão no portal do Azure.

  2. Crie um novo recurso do Cache do Azure para Redis com um tipo de Cache de qualquer uma das camadas premium. Preencha a guia Noções básicas com todas as informações necessárias.

    Captura de tela mostrando como criar um cache premium.

  3. Selecione a guia Avançado. Em seguida, role para baixo até Identidade gerenciada atribuída ao sistema e selecione Ativado.

    Captura de tela semeando página Avançado do formulário.

  4. Conclua o processo de criação. Depois que o cache tiver sido criado e implantado, abra-o e selecione a guia Identidade na seção Configurações à esquerda. Você vê que um ID de objeto atribuído pelo sistema foi atribuído à Identidade do cache.

    Captura de ecrã a mostrar a Identidade no menu Recurso.

Adicionar identidade atribuída ao sistema a um cache existente

  1. Navegue até o recurso Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.

  2. Para habilitar uma identidade atribuída pelo sistema, selecione a guia Sistema atribuído e selecione Ativado em Status. Selecione Salvar para confirmar.

    Captura de ecrã a mostrar o Sistema Atribuído selecionado e o Estado ativado.

  3. Uma caixa de diálogo aparece dizendo que seu cache será registrado com o Microsoft Entra ID e que ele pode receber permissões para acessar recursos protegidos pelo Microsoft Entra ID. Selecione Yes (Sim). Captura de tela perguntando se você deseja habilitar a identidade gerenciada.

  4. Você verá uma ID de objeto (principal), indicando que a identidade foi atribuída.

    Captura de tela mostrando a ID do objeto (principal).

Adicionar uma identidade atribuída ao usuário a um cache existente

  1. Navegue até o recurso Cache do Azure para Redis no portal do Azure. Selecione Identidade no menu Recurso à esquerda.

  2. Para habilitar a identidade atribuída ao usuário, selecione a guia Usuário atribuído e selecione Adicionar.

    O status de identidade atribuído ao usuário está ativado.

  3. Uma barra lateral aparece para permitir que você selecione qualquer identidade atribuída pelo usuário disponível para sua assinatura. Escolha uma identidade e selecione Adicionar. Para obter mais informações sobre identidades gerenciadas atribuídas pelo usuário, consulte gerenciar identidade atribuída pelo usuário.

    Nota

    Você precisa criar uma identidade atribuída ao usuário antes desta etapa.

    Captura de ecrã a mostrar uma identidade gerida atribuída ao Utilizador.

  4. Você vê a identidade atribuída pelo usuário listada no painel Usuário atribuído .

    Captura de ecrã a mostrar uma lista de nomes, grupos de recursos e subscrições.

Habilitar identidade gerenciada usando a CLI do Azure

Use a CLI do Azure para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte az redis create ou az redis identity.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando da CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Habilitar identidade gerenciada usando o Azure PowerShell

Use o Azure PowerShell para criar um novo cache com identidade gerenciada ou atualizar um cache existente para usar a identidade gerenciada. Para obter mais informações, consulte New-AzRedisCache ou Set-AzRedisCache.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando do PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurar a conta de armazenamento para usar a identidade gerenciada

Importante

A identidade gerenciada deve ser configurada na conta de armazenamento antes que o Cache Redis do Azure possa acessar a conta para persistência ou funcionalidade de importação/exportação. Se esta etapa não for feita corretamente, você verá erros ou nenhum dado gravado.

  1. Crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você gostaria de conectar à sua instância de cache.

  2. Abra o controle de acesso (IAM) no menu Recurso. Em seguida, selecione Adicionar e Adicionar atribuição de função.

    Captura de ecrã a mostrar as definições do Controlo de Acesso (IAM).

  3. Procure o Colaborador de Dados de Blob de Armazenamento no painel Função. Selecione-o e Avançar.

    Captura de ecrã a mostrar o formulário Adicionar atribuição de funções com uma lista de funções.

  4. Selecione a guia Membros . Em Atribuir acesso para selecionar Identidade Gerenciada e selecione Selecionar membros. Uma barra lateral aparece ao lado do painel de trabalho.

    Captura de tela mostrando o formulário de atribuição de função com o painel de membros.

  5. Use a lista suspensa em Identidade gerenciada para escolher uma identidade gerenciada atribuída pelo usuário ou uma identidade gerenciada atribuída pelo sistema. Se você tiver muitas identidades gerenciadas, poderá pesquisar por nome. Escolha as identidades gerenciadas desejadas e, em seguida, Selecionar. Em seguida, Rever + atribuir para confirmar.

    Captura de ecrã a mostrar o formulário de Identidade Gerida com a identidade gerida atribuída pelo utilizador indicada.

  6. Você pode confirmar se a identidade foi atribuída com êxito verificando as atribuições de função da sua conta de armazenamento em Colaborador de Dados de Blob de Armazenamento.

    Captura de ecrã da lista de Colaboradores de Dados de Blob de Armazenamento.

Nota

Para que a exportação funcione com uma conta de armazenamento com exceções de firewall, você deve:

Se você não estiver usando a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação-exportação.

Usar identidade gerenciada para acessar uma conta de armazenamento

Usar identidade gerenciada com persistência de dados

  1. Abra a instância do Cache do Azure para Redis à qual foi atribuída a função de Colaborador de Dados de Blob de Armazenamento e vá para a persistência de dados no menu Recurso.

  2. Altere o Método de Autenticação para Identidade Gerenciada e selecione a conta de armazenamento configurada anteriormente no artigo. selecione Salvar.

    Captura de tela mostrando o painel de persistência de dados com o método de autenticação selecionado.

    Importante

    A identidade assume como padrão a identidade atribuída pelo sistema se estiver habilitada. Caso contrário, a primeira identidade atribuída pelo usuário listada será usada.

  3. Os backups de persistência de dados agora podem ser salvos na conta de armazenamento usando a autenticação de identidade gerenciada.

    Captura de ecrã a mostrar dados de exportação no menu Recurso.

Usar identidade gerenciada para importar e exportar dados de cache

  1. Abra sua instância do Cache do Azure para Redis que recebeu a função de Colaborador de Dados de Blob de Armazenamento e vá para a guia Importar ou Exportar em Administração.

  2. Se estiver importando dados, escolha o local de armazenamento de blob que contém o arquivo RDB escolhido. Se estiver exportando dados, digite o prefixo do nome do blob desejado e o contêiner de armazenamento. Em ambas as situações, você deve usar a conta de armazenamento configurada para acesso de identidade gerenciado.

    Captura de ecrã a mostrar a Identidade Gerida selecionada.

  3. Em Método de autenticação, escolha Identidade gerenciada e selecione Importar ou Exportar, respectivamente.

Nota

Levará alguns minutos para importar ou exportar os dados.

Importante

Se você vir uma falha de exportação ou importação, verifique se sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo usuário do cache. A identidade usada será padronizada para a identidade atribuída pelo sistema se estiver habilitada. Caso contrário, a primeira identidade atribuída pelo usuário listada será usada.