Identidad administrada para almacenamiento
Las identidades administradas son una herramienta común que se usa en Azure para ayudar a los desarrolladores a minimizar la carga de administrar secretos e información de inicio de sesión. Las identidades administradas son útiles cuando los servicios de Azure se conectan entre sí. En lugar de administrar la autorización entre cada servicio, Microsoft Entra ID se puede usar para proporcionar una identidad administrada que haga que el proceso de autenticación sea más simplificado y seguro.
Uso de identidades administradas con cuentas de almacenamiento
Actualmente, Azure Cache for Redis puede usar una identidad administrada para conectarse con una cuenta de almacenamiento, útil en dos escenarios:
Persistencia de datos: copias de seguridad programadas de datos en la memoria caché a través de un archivo RDB o AOF.
Importar o exportar: guardar instantáneas de datos de caché o importar datos desde un archivo guardado.
La identidad administrada permite simplificar el proceso de conexión segura a la cuenta de almacenamiento elegida para estas tareas.
Azure Cache for Redis admite ambos tipos de identidad administrada:
La identidad asignada por el sistema es específica del recurso. En este caso, la memoria caché es el recurso. Cuando se elimina la memoria caché, se elimina la identidad.
La identidad asignada por el usuario es específica de un usuario, no del recurso. Se puede asignar a cualquier recurso que admita la identidad administrada y permanece incluso cuando se elimina la memoria caché.
Cada tipo de identidad administrada tiene ventajas, pero en Azure Cache for Redis, la funcionalidad es la misma.
Habilitación de una entidad administrada
La identidad administrada se puede habilitar al crear una instancia de caché o una vez creada la memoria caché. Durante la creación de una memoria caché, solo se puede asignar una identidad asignada por el sistema. Cualquier tipo de identidad se puede agregar a una caché existente.
Ámbito de disponibilidad
| Nivel | Básico y Estándar | Premium | Enterprise o Enterprise Flash |
|---|---|---|---|
| Disponible | No | Sí | No |
Requisitos previos y limitaciones
La identidad administrada para el almacenamiento solo se usa con la característica de importación/exportación y la característica de persistencia ahora, lo que limita su uso al nivel Premium de Azure Cache for Redis.
La identidad administrada para el almacenamiento no se admite en las cachés que tienen una dependencia de Cloud Services (clásico). Para obtener más información sobre cómo comprobar si la caché usa Cloud Services (clásico), consulte Cómo saber si se ve afectada una caché.
Creación de una nueva caché con identidad administrada mediante el portal
Inicie sesión en Azure Portal.
Cree un nuevo recurso de Azure Cache for Redis con un tipo de caché de cualquiera de los niveles prémium. Complete la pestaña Aspectos básicos con toda la información necesaria.
Seleccione la pestaña Opciones avanzadas. A continuación, desplácese hasta Identidad administrada asignada por el sistema y seleccione Activado.
Complete el proceso de creación. Una vez creada e implementada la memoria caché, ábrala y seleccione la pestaña Identidad en la sección Configuración a la izquierda. Verá que se ha asignado un identificador de objeto asignado por el sistema a la identidad de la caché.
Adición de una identidad asignada por el sistema a una caché existente
Vaya al recurso Azure Cache for Redis desde Azure Portal. Seleccione Identidad en el menú Recurso de la izquierda.
Para habilitar una identidad asignada por el sistema, seleccione la pestaña Asignado por el sistema y seleccione Activar en Estado. Seleccione Guardar para confirmar.
Aparece un cuadro de diálogo que dice que la caché se registrará en Microsoft Entra ID y que se le pueden conceder permisos para acceder a los recursos protegidos por dicho servicio. Seleccione Sí.
Verá un identificador de objeto (entidad de seguridad) que indica que se ha asignado la identidad.
Adición de una identidad asignada por el usuario a una caché existente
Vaya al recurso Azure Cache for Redis desde Azure Portal. Seleccione Identidad en el menú Recurso de la izquierda.
Para habilitar la identidad asignada por el usuario, seleccione la pestaña Asignado por el usuario y seleccione Agregar.
Aparece una barra lateral que le permite seleccionar cualquier identidad asignada por el usuario disponible para su suscripción. Elija una identidad y seleccione Agregar. Para obtener más información sobre las identidades administradas asignadas por el usuario, consulte Administración de identidades administradas asignadas por el usuario.
Nota
Es necesario crear una identidad asignada por el usuario antes de este paso.
Verá la identidad asignada por el usuario en el panel Asignado por el usuario.
Habilitación de la identidad administrada mediante la CLI de Azure
Use la CLI de Azure para crear una nueva memoria caché con identidad administrada o actualizar una memoria caché existente para usar la identidad administrada. Para más información, consulte az redis create o az redis identity.
Por ejemplo, para actualizar una memoria caché para usar la identidad administrada por el sistema, use el siguiente comando de la CLI:
az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group
Habilitación de la identidad administrada mediante Azure PowerShell
Use Azure PowerShell para crear una nueva memoria caché con identidad administrada o actualizar una memoria caché existente para usar la identidad administrada. Para más información, consulte New-AzRedisCache o Set-AzRedisCache.
Por ejemplo, para actualizar una memoria caché para usar la identidad administrada por el sistema, use el siguiente comando de PowerShell:
Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"
Configuración de la cuenta de almacenamiento para usar la identidad administrada
Importante
La identidad administrada debe configurarse en la cuenta de almacenamiento para que Azure Cache for Redis pueda acceder a la cuenta para la funcionalidad de persistencia o importación/exportación. Si este paso no se realiza correctamente, verá errores o no habrá ningún dato escrito.
Cree una nueva cuenta de almacenamiento o abra una cuenta de almacenamiento existente que le gustaría conectar a la instancia de caché.
Abra el Control de acceso (IAM) desde el menú de recursos. Seleccione Agregar y Agregar asignación de roles.
Busque Colaborador de datos de Storage Blob en el panel de roles. Selecciónelo y luego Siguiente.
Seleccione la pestaña Miembros. En Asignar acceso a, seleccione Identidad administrada y luego Seleccionar miembros. Aparece una barra lateral junto al panel de trabajo.
Utilice el menú desplegable bajo Identidad administrada para seleccionar una Identidad administrada asignada por el usuario o una Identidad administrada asignada por el sistema. Si tiene muchas identidades administradas, puede buscar por nombre. Elija las identidades administradas que quiera y, a continuación, Seleccionar. Seleccione Revisar y asignar para confirmar.
Para confirmar si la identidad se ha asignado correctamente, compruebe las asignaciones de roles de la cuenta de almacenamiento en Colaborador de datos de Storage Blob.
Nota
Para que la exportación funcione con una cuenta de almacenamiento con excepciones de firewall, debe hacer lo siguiente:
- agregue una instancia de Azure Cache for Redis como colaborador de datos de blob de almacenamiento a través de una identidad asignada por el sistema y
- compruebe Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento.
Si no usa la identidad administrada y, en su lugar, autoriza una cuenta de almacenamiento con una clave, las excepciones de firewall en la cuenta de almacenamiento interrumpen los procesos de persistencia, y de importación y exportación.
Uso de una identidad administrada para acceder a una cuenta de almacenamiento
Uso de una identidad administrada con persistencia de datos
Abra la instancia de Azure Cache for Redis a la que se ha asignado el rol Colaborador de datos de Storage Blob y vaya a Persistencia de datos en el menú Recurso.
Cambie el Método de autenticación a Identidad administrada y seleccione la cuenta de almacenamiento que configuró anteriormente en este artículo. Seleccione Guardar.
Importante
La identidad tiene como valor predeterminado la identidad asignada por el sistema si está habilitada. De lo contrario, se usa la primera identidad asignada por el usuario.
Las copias de seguridad de persistencia de datos ahora se pueden guardar en la cuenta de almacenamiento mediante la autenticación de identidad administrada.
Uso de la identidad administrada para importar y exportar datos de caché
Abra la instancia de Azure Cache for Redis a la que se ha asignado el rol Colaborador de datos de Storage Blob y vaya a la pestaña Importar o Exportar en Administración.
Si importa datos, elija la ubicación de almacenamiento de blobs que contiene el archivo RDB elegido. Si exporta datos, escriba el prefijo de nombre de blob deseado y el contenedor de almacenamiento. En ambas situaciones, debe usar la cuenta de almacenamiento que ha configurado para el acceso a la identidad administrada.
En Método de autenticación, elija Identidad administrada y seleccione Importar o Exportar, respectivamente.
Nota
La importación o exportación de los datos llevará unos minutos.
Importante
Si ve un error de exportación o importación, compruebe que la cuenta de almacenamiento se ha configurado con la identidad asignada por el sistema o asignada por el usuario de la memoria caché. La identidad usada tendrá como valor predeterminado la identidad asignada por el sistema, si está habilitada. De lo contrario, se usa la primera identidad asignada por el usuario.
Contenido relacionado
- Más información sobre las características de Azure Cache for Redis.
- ¿Qué son las identidades administradas?