Hanterad identitet för lagring

  • Artikel

Hanterade identiteter är ett vanligt verktyg som används i Azure för att hjälpa utvecklare att minimera bördan att hantera hemligheter och inloggningsinformation. Hanterade identiteter är användbara när Azure-tjänster ansluter till varandra. I stället för att hantera auktorisering mellan varje tjänst kan Microsoft Entra-ID användas för att tillhandahålla en hanterad identitet som gör autentiseringsprocessen mer effektiv och säker.

Använda hanterad identitet med lagringskonton

För närvarande kan Azure Cache for Redis använda en hanterad identitet för att ansluta till ett lagringskonto, vilket är användbart i två scenarier:

  • Datapersistence – schemalagda säkerhetskopieringar av data i cacheminnet via en RDB- eller AOF-fil.

  • Importera eller exportera – spara ögonblicksbilder av cachedata eller importera data från en sparad fil.

Med hanterad identitet kan du förenkla processen för säker anslutning till ditt valda lagringskonto för dessa uppgifter.

Azure Cache for Redis stöder båda typerna av hanterad identitet:

  • Systemtilldelad identitet är specifik för resursen. I det här fallet är cachen resursen. När cacheminnet tas bort tas identiteten bort.

  • Användartilldelad identitet är specifik för en användare, inte resursen. Den kan tilldelas till alla resurser som stöder hanterad identitet och förblir även när du tar bort cacheminnet.

Varje typ av hanterad identitet har fördelar, men i Azure Cache for Redis är funktionerna desamma.

Aktivera hanterad identitet

Hanterad identitet kan aktiveras antingen när du skapar en cacheinstans eller när cacheminnet har skapats. När en cache skapas kan endast en systemtilldelad identitet tilldelas. Du kan lägga till någon av identitetstyperna i en befintlig cache.

Tillgänglighetsomfång

Nivå Basic, Standard Premium Enterprise, Enterprise Flash
Tillgängligt Nej Ja Nej

Förutsättningar och begränsningar

Hanterad identitet för lagring används endast med funktionen import/export och beständighet nu, vilket begränsar dess användning till Premium-nivån för Azure Cache for Redis.

Hanterad identitet för lagring stöds inte i cacheminnen som har ett beroende av Cloud Services (klassisk). Mer information om hur du kontrollerar om cacheminnet använder Cloud Services (klassisk) finns i Hur gör jag för att veta om en cache påverkas?.

Skapa en ny cache med hanterad identitet med hjälp av portalen

  1. Logga in på Azure-portalen.

  2. Skapa en ny Azure Cache for Redis-resurs med en cachetyp för någon av premiumnivåerna. Fliken Slutför grunderna med all nödvändig information.

    Skärmbild som visar hur du skapar en Premium-cache.

  3. Välj fliken Avancerat . Rulla sedan ned till Systemtilldelad hanterad identitet och välj .

    Skärmbild av sidan Avancerat i formuläret.

  4. Slutför skapandeprocessen. När cachen har skapats och distribuerats öppnar du den och väljer fliken Identitet under avsnittet Inställningar till vänster. Du ser att ett systemtilldelat objekt-ID har tilldelats cacheidentiteten.

    Skärmbild som visar identitet på resursmenyn.

Lägga till systemtilldelad identitet i en befintlig cache

  1. Gå till din Azure Cache for Redis-resurs från Azure-portalen. Välj Identitet på menyn Resurs till vänster.

  2. Om du vill aktivera en systemtilldelad identitet väljer du fliken Systemtilldelad och väljer under Status. Bekräfta genom att välja Spara .

    Skärmbild som visar systemtilldelat valt och Status är aktiverat.

  3. En dialogruta visar att din cache kommer att registreras med Microsoft Entra-ID och att den kan beviljas behörighet att komma åt resurser som skyddas av Microsoft Entra-ID. Välj Ja. Skärmbild som frågar om du vill aktivera hanterad identitet.

  4. Du ser ett objekt-ID (huvudnamn) som anger att identiteten har tilldelats.

    Skärmbild som visar objekt-ID:t (huvudnamn).

Lägga till en användartilldelad identitet i en befintlig cache

  1. Gå till din Azure Cache for Redis-resurs från Azure-portalen. Välj Identitet på menyn Resurs till vänster.

  2. Om du vill aktivera användartilldelad identitet väljer du fliken Användartilldelad och väljer Lägg till.

    Användartilldelad identitetsstatus är aktiverad.

  3. Ett sidofält visas så att du kan välja valfri tillgänglig användartilldelad identitet för din prenumeration. Välj en identitet och välj Lägg till. Mer information om användartilldelade hanterade identiteter finns i Hantera användartilldelad identitet.

    Kommentar

    Du måste skapa en användartilldelad identitet före det här steget.

    Skärmbild som visar en användartilldelad hanterad identitet.

  4. Du ser den användartilldelade identiteten i fönstret Användartilldelad .

    Skärmbild som visar en lista med namn, resursgrupper och prenumerationer.

Aktivera hanterad identitet med hjälp av Azure CLI

Använd Azure CLI för att skapa en ny cache med hanterad identitet eller uppdatera en befintlig cache för att använda hanterad identitet. Mer information finns i az redis create or az redis identity (az redis create eller az redis identity).

Om du till exempel vill uppdatera en cache för att använda systemhanterad identitet använder du följande CLI-kommando:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Aktivera hanterad identitet med Hjälp av Azure PowerShell

Använd Azure PowerShell för att skapa en ny cache med hanterad identitet eller uppdatera en befintlig cache för att använda hanterad identitet. Mer information finns i New-AzRedisCache eller Set-AzRedisCache.

Om du till exempel vill uppdatera en cache för att använda systemhanterad identitet använder du följande PowerShell-kommando:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Konfigurera lagringskonto för att använda hanterad identitet

Viktigt!

Hanterad identitet måste konfigureras i lagringskontot innan Azure Cache for Redis kan komma åt kontot för beständighet eller import-/exportfunktioner. Om det här steget inte görs korrekt visas fel eller inga data skrivna.

  1. Skapa ett nytt lagringskonto eller öppna ett befintligt lagringskonto som du vill ansluta till din cacheinstans.

  2. Öppna åtkomstkontrollen (IAM) på resursmenyn. Välj sedan Lägg till och Lägg till rolltilldelning.

    Skärmbild som visar inställningarna för åtkomstkontroll (IAM).

  3. Sök efter Storage Blob Data-deltagaren i fönstret Roll. Välj den och Nästa.

    Skärmbild som visar Lägg till rolltilldelningsformulär med en lista över roller.

  4. Välj fliken Medlemmar . Under Tilldela åtkomst till väljer du Hanterad identitet och väljer på Välj medlemmar. Ett sidofält visas bredvid arbetsfönstret.

    Skärmbild som visar fönstret Lägg till rolltilldelning med medlemmar.

  5. Använd listrutan under Hanterad identitet för att välja antingen en användartilldelad hanterad identitet eller en systemtilldelad hanterad identitet. Om du har många hanterade identiteter kan du söka efter namn. Välj de hanterade identiteter du vill använda och välj sedan . Granska sedan + tilldela för att bekräfta.

    Skärmbild som visar formulär för hanterad identitet med användartilldelad hanterad identitet angiven.

  6. Du kan kontrollera om identiteten har tilldelats genom att kontrollera lagringskontots rolltilldelningar under Storage Blob Data Contributor.

    Skärmbild av listan Storage Blob Data-deltagare.

Kommentar

För att export ska fungera med ett lagringskonto med brandväggsundatag måste du:

Om du inte använder hanterad identitet och i stället auktoriserar ett lagringskonto med en nyckel, bryter brandväggsundantag på lagringskontot beständighetsprocessen och import-exportprocesserna.

Använda hanterad identitet för att komma åt ett lagringskonto

Använda hanterad identitet med datapersistence

  1. Öppna Azure Cache for Redis-instansen som har tilldelats rollen Storage Blob Data Contributor och gå till Datapersistence på resursmenyn.

  2. Ändra autentiseringsmetoden till Hanterad identitet och välj det lagringskonto som du konfigurerade tidigare i artikeln. välj Spara.

    Skärmbild som visar fönstret datapersistence med autentiseringsmetod vald.

    Viktigt!

    Identiteten är som standard den systemtilldelade identiteten om den är aktiverad. I annat fall används den första användartilldelade identiteten i listan.

  3. Säkerhetskopiering av datapersistence kan nu sparas på lagringskontot med hjälp av hanterad identitetsautentisering.

    Skärmbild som visar exportera data på resursmenyn.

Använda hanterad identitet för att importera och exportera cachedata

  1. Öppna din Azure Cache for Redis-instans som har tilldelats rollen Storage Blob Data Contributor och gå till fliken Import eller Export under Administration.

  2. Om du importerar data väljer du den bloblagringsplats som innehåller den valda RDB-filen. Om du exporterar data skriver du det önskade blobnamnprefixet och lagringscontainern. I båda fallen måste du använda lagringskontot som du har konfigurerat för åtkomst till hanterad identitet.

    Skärmbild som visar den hanterade identiteten markerad.

  3. Under Autentiseringsmetod väljer du Hanterad identitet och väljer Importera respektive Exportera.

Kommentar

Det tar några minuter att importera eller exportera data.

Viktigt!

Om du ser ett export- eller importfel kontrollerar du att lagringskontot har konfigurerats med cacheminnets systemtilldelade eller användartilldelade identitet. Den identitet som används kommer som standard att vara systemtilldelad identitet om den är aktiverad. I annat fall används den första användartilldelade identiteten i listan.

Relaterat innehåll