Поделиться через

Использование управляемых удостоверений с Синхронизация файлов Azure (предварительная версия)

  • Статья

Синхронизация файлов Azure поддержка управляемых удостоверений, назначенных системой, теперь доступна в предварительной версии.

Поддержка управляемого удостоверения устраняет необходимость использования общих ключей в качестве метода проверки подлинности путем использования управляемого удостоверения, назначаемого системой, предоставленного идентификатором Microsoft Entra.

При включении этой конфигурации управляемые удостоверения, назначаемые системой, будут использоваться для следующих сценариев:

  • Проверка подлинности службы синхронизации хранилища в общую папку Azure
  • Проверка подлинности зарегистрированного сервера в общей папке Azure
  • Проверка подлинности зарегистрированного сервера в службе синхронизации хранилища

Дополнительные сведения об использовании управляемых удостоверений см. в статье "Управляемые удостоверения" для ресурсов Azure.

Чтобы настроить развертывание Синхронизация файлов Azure для использования управляемых удостоверений, назначаемых системой, следуйте инструкциям в последующих разделах.

Необходимые компоненты

  • Необходимо развернуть службу синхронизации хранилища по крайней мере с одним зарегистрированным сервером.

  • Синхронизация файлов Azure агент версии 19.1.0.0 или более поздней версии должен быть установлен на зарегистрированном сервере.

  • В учетных записях хранения, используемых Синхронизация файлов Azure:

    • Вы должны быть членом роли управления владельцем или иметь разрешения "Microsoft.Authorization/roleassignments/write".
    • Разрешить службам Azure в списке доверенных служб доступ к этому исключению учетной записи хранения необходимо включить для предварительной версии. Подробнее
    • Разрешить доступ к ключу учетной записи хранения необходимо включить для предварительной версии. Чтобы проверить этот параметр, перейдите к учетной записи хранения и выберите "Конфигурация " в разделе "Параметры".

  • Модуль Az.StorageSync PowerShell версии 2.2.0 или более поздней версии должен быть установлен на компьютере, который будет использоваться для настройки Синхронизация файлов Azure для использования управляемых удостоверений. Чтобы установить последний модуль Az.StorageSync PowerShell, выполните следующую команду из окна PowerShell с повышенными привилегиями:

    Install-Module Az.StorageSync -Force

Доступность в регионах

Синхронизация файлов Azure поддержка управляемых удостоверений, назначенных системой (предварительная версия), доступна во всех регионах Azure Public и Gov, поддерживающих Синхронизация файлов Azure.

Включение управляемого удостоверения, назначаемого системой, на зарегистрированных серверах

Прежде чем настроить Синхронизация файлов Azure для использования управляемых удостоверений, зарегистрированные серверы должны иметь управляемое удостоверение, назначаемое системой, которое будет использоваться для проверки подлинности в службе Синхронизация файлов Azure и общих папках Azure.

Чтобы включить управляемое удостоверение, назначаемое системой, на зарегистрированном сервере с установленным агентом Синхронизация файлов Azure версии 19, выполните следующие действия.

  • Если сервер размещен за пределами Azure, он должен быть сервером с поддержкой Azure Arc, чтобы иметь управляемое удостоверение, назначаемое системой. Дополнительные сведения о серверах с поддержкой Azure Arc и установке агента подключенного компьютера Azure см. в статье "Обзор серверов с поддержкой Azure Arc".
  • Если сервер является виртуальной машиной Azure, включите параметр управляемого удостоверения, назначаемого системой, на виртуальной машине. Дополнительные сведения см. в статье "Настройка управляемых удостоверений на виртуальных машинах Azure".

Примечание.

  • По крайней мере один зарегистрированный сервер должен иметь управляемое удостоверение, назначаемое системой, прежде чем настроить службу синхронизации хранилища для использования удостоверения, назначаемого системой.
  • После настройки службы синхронизации хранилища для использования управляемых удостоверений зарегистрированные серверы, у которых нет управляемого удостоверения, назначаемого системой, будут продолжать использовать общий ключ для проверки подлинности в общих папках Azure.

Проверка наличия управляемого удостоверения, назначаемого системой, на зарегистрированных серверах

Чтобы проверить, имеют ли зарегистрированные серверы управляемое удостоверение, назначаемое системой, выполните следующую команду PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что свойство LatestApplicationId имеет GUID, указывающий, что сервер имеет управляемое удостоверение, назначаемое системой, но в настоящее время не настроено для использования управляемого удостоверения.

Если для свойства ActiveAuthType задано значение Certificate и LatestApplicationId не содержит GUID, сервер не имеет управляемого удостоверения, назначаемого системой, и будет использовать общие ключи для проверки подлинности в общей папке Azure.

Примечание.

После настройки сервера использовать управляемое удостоверение, назначаемое системой, выполнив действия, описанные в следующем разделе, свойство LatestApplicationId больше не используется (будет пустым), значение свойства ActiveAuthType будет изменено на ManagedIdentity, а свойство ApplicationId будет иметь GUID, который является управляемым удостоверением, назначаемым системой.

Настройка развертывания Синхронизация файлов Azure для использования управляемых удостоверений, назначаемых системой

Чтобы настроить службу синхронизации хранилища и зарегистрированные серверы для использования управляемых удостоверений, назначаемых системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Командлет Set-AzStorageSyncServiceIdentity выполняет следующие действия и займет несколько минут (или дольше для крупных топологий).

  • Проверяет по крайней мере один зарегистрированный сервер с управляемым удостоверением, назначенным системой.
    • Командлет остановится на этом шаге, если у управляемого удостоверения, назначаемого системой, нет зарегистрированных серверов.
  • Включает управляемое удостоверение, назначаемое системой, для ресурса службы синхронизации хранилища.
  • Предоставляет управляемому удостоверению, назначаемого системой службы синхронизации хранилища, доступ к учетным записям хранения (роль участника учетной записи хранения).
  • Предоставляет управляемому удостоверению, назначаемого системой службы синхронизации хранилища, доступ к общим папкам Azure (роль участника с привилегированным доступом к данным хранилища).
  • Предоставляет управляемому удостоверению, назначаемого системой, зарегистрированные серверы, к общим папкам Azure (роль участника с привилегированным доступом к файлам хранилища).
  • Настраивает службу синхронизации хранилища для использования управляемого удостоверения, назначаемого системой.
  • Настраивает зарегистрированные серверы для использования управляемого удостоверения, назначаемого системой.

Используйте командлет Set-AzStorageSyncServiceIdentity в любое время, чтобы настроить дополнительные зарегистрированные серверы для использования управляемых удостоверений.

Примечание.

После настройки зарегистрированного сервера для использования управляемого удостоверения, назначаемого системой, может потребоваться до одного часа, прежде чем сервер использует управляемое удостоверение, назначаемое системой, для проверки подлинности в службе синхронизации хранилища и общих папок.

Как проверить, используется ли служба синхронизации хранилища с помощью управляемого удостоверения, назначаемого системой.

Чтобы проверить, использует ли служба синхронизации хранилища управляемое удостоверение, назначаемое системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что значение свойства UseIdentity имеет значение True. Если значение равно False, служба синхронизации хранилища использует общие ключи для проверки подлинности в общих папках Azure.

Как проверить, настроен ли зарегистрированный сервер для использования управляемого удостоверения, назначаемого системой

Чтобы проверить, настроен ли зарегистрированный сервер на использование управляемого удостоверения, назначаемого системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что свойство ApplicationId содержит GUID, указывающий, что сервер настроен для использования управляемого удостоверения. Значение свойства ActiveAuthType будет обновлено до ManagedIdentity после использования управляемого удостоверения, назначаемого системой.

Примечание.

После настройки зарегистрированного сервера для использования управляемого удостоверения, назначаемого системой, оно может занять до одного часа до того, как сервер использует управляемое удостоверение, назначаемое системой, для проверки подлинности в службе синхронизации хранилища и общих папках Azure.

Дополнительные сведения

После настройки службы синхронизации хранилища и зарегистрированных серверов для использования управляемого удостоверения, назначаемого системой:

  • Новые конечные точки (облако или сервер), созданные, будут использовать управляемое удостоверение, назначаемое системой, для проверки подлинности в общей папке Azure.
  • Используйте командлет Set-AzStorageSyncServiceIdentity в любое время, чтобы настроить дополнительные зарегистрированные серверы для использования управляемых удостоверений.

Если возникают проблемы, см. статью "Устранение неполадок Синхронизация файлов Azure управляемых удостоверений".