Управляемое удостоверение для хранилища (предварительная версия)

  • Статья
  • Чтение занимает 5 мин

Управляемые удостоверения — это общее средство, используемое в Azure, которое помогает разработчикам снизить нагрузку на управление секретами и данными для входа. Управляемые удостоверения являются полезными, когда службы Azure подключаются друг к другу. Вместо управления авторизацией между каждой службой Azure Active Directory (Azure AD) можно использовать предоставление управляемого удостоверения, которое делает процесс аутентификации более рациональным и безопасным.

Использование управляемого удостоверения с учетными записями хранения

В настоящее время Кэш Azure для Redis может использовать управляемое удостоверение для подключения с учетной записью хранения, что выгодно в двух сценариях:

  • Сохраняемость данных — запланированное резервное копирование данных в кэше через файл RDB или AOF.

  • Импорт или экспорт — сохранение моментальных снимков данных кэша или импорт данных из сохраненного файла.

Управляемое удостоверение позволяет упростить процесс безопасного подключения к выбранной учетной записи хранения для выполнения этих задач.

Примечание

Эта функция пока не поддерживает проверку подлинности для подключения к экземпляру кэша.

Кэш Azure для Redis поддерживает оба типа управляемого удостоверения:

  • Назначаемое системой удостоверение зависит от ресурса. В этом случае кэш является ресурсом. При удалении кэша удостоверение удаляется.

  • Назначаемое пользователем удостоверение зависит от пользователя, а не от ресурса. Его можно назначить любому ресурсу, который поддерживает управляемое удостоверение и остается даже после удаления кэша.

Каждый тип управляемого удостоверения имеет свои преимущества, но в Кэше Azure для Redis функциональные возможности одинаковы.

Включение управляемого удостоверения

Управляемое удостоверение можно включить либо при создании экземпляра кэша, либо после создания кэша. Во время создания кэша может быть назначено только удостоверение, назначаемое системой. В существующий кэш можно добавить любой из типов удостоверений.

Предварительные условия и ограничения

Для использования управляемого удостоверения необходим кэш уровня "Премиум".

Создание нового кэша с управляемым удостоверением с помощью портала

  1. Войдите на портал Azure.

  2. Создайте новый ресурс Кэша Azure для Redis с типом кэша из уровней "Премиум". Заполните вкладку Основные сведения всеми необходимыми сведениями.

    Примечание

    Функциональность управляемого удостоверения доступна только для уровня "Премиум".

    create a premium azure cache

  3. Перейдите на вкладку Дополнительно. Затем прокрутите вниз до Управляемое удостоверение, назначаемое системой (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) и выберите Вкл.

    Advanced page of the form

  4. Завершите процесс создания. После создания и развертывания кэша откройте его и выберите вкладку Удостоверение (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) слева в разделе Параметры.

    (Preview) Identity in the Resource menu

  5. Вы увидите, что назначаемый системой идентификатор объекта был назначен в кэше Удостоверение.

    System assigned resource settings for identity

Добавление удостоверения, назначаемого системой, в существующий кэш

  1. Перейдите к ресурсу Кэша Azure для Redis на портале Azure. Выберите Удостоверение (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) в меню ресурсов слева.

    Примечание

    Функциональность управляемого удостоверения доступна только для уровня "Премиум".

  2. Чтобы включить назначаемое системой удостоверение, выберите вкладку Назначено системой (предварительная версия) и в разделе Состояние щелкните Вкл. Выберите Сохранить для подтверждения.

    System assigned identity status is on

  3. Появится диалоговое окно с сообщением о том, что кэш будет зарегистрирован в Azure Active Directory и что ему можно предоставить разрешения на доступ к ресурсам, защищенным Azure AD. Выберите ответ Да.

  4. Вы увидите идентификатор объекта (субъект), указывающий, что удостоверение назначено.

    new Object principal ID shown for system assigned identity

Добавление назначаемого пользователем удостоверения к существующему кэшу

  1. Перейдите к ресурсу Кэша Azure для Redis на портале Azure. Выберите Удостоверение (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) в меню ресурсов слева.

    Примечание

    Функциональность управляемого удостоверения доступна только для уровня "Премиум".

  2. Чтобы включить удостоверение, назначаемое пользователем, выберите вкладку Пользователь назначен (предварительная версия) и щелкните Добавить.

    User assigned identity status is on

  3. Появится боковая панель, позволяющая выбрать любое удостоверение, назначаемое пользователем, в подписке. Выберите удостоверение и нажмите Добавить. Дополнительные сведения см. в статье Администрирование управляемых удостоверений, назначаемых пользователем.

    Примечание

    Перед этим шагом необходимо создать удостоверение, назначаемое пользователем.

    new Object principal ID shown for user assigned identity

  4. Удостоверение, назначаемое пользователем, отображается в области Пользователь назначен (предварительная версия).

    list of identity names

Включение управляемого удостоверения с помощью Azure CLI

Используйте Azure CLI для создания нового кэша с управляемым удостоверением или обновления существующего кэша для использования управляемого удостоверения. Дополнительные сведения см. в статье az redis create или az redis identity.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, выполните следующую команду CLI:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Включение управляемого удостоверения с помощью Azure PowerShell

Используйте Azure PowerShell для создания нового кэша с управляемым удостоверением или обновления существующего кэша для использования управляемого удостоверения. Дополнительные сведения см. в статье New-AzRedisCache или Set-AzRedisCache.

Например, чтобы обновить кэш для использования управляемого системой удостоверения, выполните следующую команду PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Настройка учетной записи хранения для использования управляемого удостоверения

Важно!

Управляемое удостоверение должно быть настроено в учетной записи хранения, прежде чем Кэш Azure для Redis сможет получить доступ к учетной записи для функциональности сохраняемости, импорта или экспорта. Если этот шаг выполняется неправильно, будут отображаться ошибки или данные не будут записаны.

  1. Создайте учетную запись хранения или откройте уже существующую, которую хотите подключить к экземпляру кэша.

  2. В меню ресурсов откройте Управление доступом (IAM). Затем выберите Добавить и Добавить назначение ролей.

    access control (iam) settings

  3. В области ролей найдите Участник для данных BLOB-объектов хранилища. Выберите и нажмите кнопку Далее.

    add role assignment form with list of roles

  4. Выберите вкладку Участники. В разделе Назначение доступа к выберите Управляемое удостоверение и щелкните Выбрать участников. Появится боковая панель справа.

    add role assignment form with members pane

  5. Раскрывающийся список Управляемое удостоверение используется для выбора управляемого удостоверения, назначаемого пользователем или управляемого удостоверения, назначаемого системой. Если вы имеете много управляемых удостоверений, можете выполнять поиск по имени. Выберите нужные вам удостоверения и нажмите кнопку Выбрать. Затем для подтверждения —Проверка + назначение.

    select managed identities form pop up

  6. Можете подтвердить, успешно ли было назначено удостоверение, путем проверки назначений ролей учетной записи хранения в разделе Участник для данных BLOB-объектов хранилища.

    storag blob data contributor list

Примечание

Добавление экземпляра Кэша Azure для Redis в качестве участника для данных BLOB-объектов хранилища с помощью удостоверения, назначаемого системой, позволит удобно добавить экземпляр кэша в список доверенных служб, что упростит реализацию исключений брандмауэра.

Использование управляемого удостоверения для доступа в учетную запись хранения

Использование управляемого удостоверения для сохраняемости данных

  1. Откройте экземпляр Кэша Azure для Redis, которому была назначена роль участника данных BLOB-объектов хранилища, и в меню ресурсов выберите Сохраняемость данных.

  2. Измените Способ проверки подлинности на Управляемое удостоверение (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) и выберите учетную запись хранения, которую вы настроили выше. Щелкните Save (Сохранить).

    data persistence pane with authentication method selected

    Важно!

    Удостоверением по умолчанию является удостоверение, назначаемое системой, если включено. В противном случае используется первое по списку удостоверение, указанное пользователем.

  3. Резервные копии сохраняемости данных теперь можно сохранять в учетной записи хранения с использованием проверки подлинности с помощью управляемых удостоверений.

    export data in resource menu

Использование управляемого удостоверения для импорта и экспорта данных кэша

  1. Откройте экземпляр Кэша Azure для Redis, которому была назначена роль участника данных BLOB-объектов хранилища, затем нажмите вкладку Импорт или Экспорт в разделе Администрирование.

  2. При импорте данных выберите место хранения BLOB-объектов, в котором находится выбранный файл RDB. При экспорте данных введите нужный префикс имени BLOB-объекта и контейнер хранилища. В обеих ситуациях вам нужно использовать учетную запись хранения, которую вы настроили для доступа к управляемому удостоверению.

    export data from the resource menu

  3. В разделе Способ проверки подлинности выберите Управляемое удостоверение (ПРЕДВАРИТЕЛЬНАЯ ВЕРСИЯ) и щелкните соответственно Импорт или Экспорт.

Примечание

Импорт или экспорт данных займет несколько минут.

Важно!

Если вы видите ошибку экспорта или импорта, тщательно проверьте, настроена ли ваша учетная запись хранения с использованием удостоверения кэша, назначаемого системой или пользователем. Используемым по умолчанию будет удостоверение, назначаемое системой, если включено. В противном случае используется первое по списку удостоверение, указанное пользователем.

Дальнейшие действия