Compartilhar via

Identidade gerenciada com contas de armazenamento

  • Aplica-se a: ✅ Azure Cache for Redis

Importante

O Cache do Azure para Redis anunciou a linha do tempo de desativação para todos os SKUs. Recomendamos migrar suas instâncias do Cache do Azure para Redis para o Redis Gerenciado pelo Azure assim que possível.

Para obter mais detalhes sobre a aposentadoria:

Uma identidade gerenciada ajuda os serviços do Azure a se conectarem entre si, tornando a autenticação mais simplificada e segura. Em vez de gerenciar a autorização entre os serviços, uma identidade gerenciada usa a ID do Microsoft Entra para fornecer autenticação. Este artigo descreve como usar a identidade gerenciada para conectar caches do Azure Cache for Redis a contas de Armazenamento do Azure.

Uma identidade gerenciada permite simplificar o processo de conexão segura a uma conta de Armazenamento do Azure para os seguintes cenários do Azure Redis:

Observação

Somente os recursos de persistência de dados e importação e exportação do Azure Redis usam identidade gerenciada. Esses recursos estão disponíveis apenas na camada Redis Premium do Azure, portanto, a identidade gerenciada só está disponível na camada Redis Premium do Azure.

O Cache do Azure para Redis dá suporte a identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário . Cada tipo de identidade gerenciada tem vantagens, mas a funcionalidade é a mesma no Cache do Azure para Redis.

  • A identidade atribuída pelo sistema é específica para o recurso de cache. Se o cache for excluído, a identidade será excluída.
  • A identidade atribuída pelo usuário é específica para um usuário. Você pode atribuir essa identidade a qualquer recurso, como uma conta de armazenamento, que dê suporte à identidade gerenciada. Essa atribuição permanece mesmo se você excluir o recurso de cache específico.

A configuração da identidade gerenciada para a persistência de dados do Azure Redis Premium ou recursos de importação e exportação consiste em várias partes:

Todas as partes devem ser concluídas corretamente, antes que a persistência de dados do Azure Redis, ou as operações de importação e exportação, possam acessar a conta de armazenamento. Caso contrário, você verá erros ou nenhum dado gravado.

Escopo de disponibilidade

Camada Básico, Standard Premium Enterprise, Enterprise Flash
Disponível Sim Sim Não

Pré-requisitos

  • Capacidade de criar e configurar um cache Redis do Azure de camada Premium e uma conta de Armazenamento do Azure em uma assinatura do Azure.
  • Para atribuir uma identidade gerenciada atribuída pelo usuário: uma identidade gerenciada criada na mesma assinatura do Azure que o Cache do Azure para Redis e a conta de armazenamento.

Habilitar identidade gerenciada

Você pode habilitar a identidade gerenciada para o cache Redis do Azure usando o portal do Azure, a CLI do Azure ou o Azure PowerShell. Você pode habilitar a identidade gerenciada ao criar uma instância de cache ou posterior.

Habilitar identidade gerenciada no portal do Azure

Durante a criação do cache, você pode atribuir apenas a identidade gerenciada atribuída pelo sistema. Você pode adicionar uma identidade atribuída pelo sistema ou atribuída pelo usuário a um cache existente.

Criar um novo cache com identidade gerenciada

  1. No portal do Azure, escolha criar um Cache do Azure para Redis. Na guia Noções básicas , selecione Premium para o SKU de Cache e conclua o restante das informações necessárias.

    Captura de tela da criação de um cache Premium.

  2. Selecione a guia Avançado e, em Identidade Gerenciada atribuída pelo sistema, defina Status como Ativado.

    Captura de tela que mostra a configuração da identidade gerenciada atribuída pelo sistema como Ativada.

  3. Conclua o processo de criação de cache.

  4. Depois que o cache for implantado, vá para a página de cache e selecione Identidade em Configurações no menu de navegação à esquerda. Verifique se um ID de objeto (principal) aparece na guia Atribuição do sistema da página Identidade.

    Captura de tela que mostra Identidade no menu Recurso.

Adicionar identidade atribuída pelo sistema a um cache existente

  1. Na página do portal do Azure do cache do Azure Redis Premium, selecione Identidade em Configurações no menu de navegação à esquerda.

  2. Na guia Atribuída pelo sistema , defina Status como Ativado e, em seguida, selecione Salvar.

    Captura de tela que mostra Atribuído pelo sistema selecionado e Status ativado.

  3. Responda Sim ao prompt para habilitar a identidade gerenciada atribuída pelo sistema.

  4. Depois que a identidade for atribuída, verifique se uma ID de Objeto (entidade de segurança) exibida na guia Atribuído pelo sistema da página Identidade.

    Captura de tela que mostra a ID de Objeto (entidade de segurança).

Adicionar uma identidade atribuída pelo usuário a um cache existente

  1. Na página do portal do Azure do cache do Azure Redis Premium, selecione Identidade em Configurações no menu de navegação à esquerda.

  2. Selecione a guia Atribuído pelo usuário e selecione Adicionar.

    O status da identidade atribuída pelo usuário é “Ativado”.

  3. Na tela Adicionar identidade gerenciada atribuída pelo usuário , selecione uma identidade gerenciada em sua assinatura e selecione Adicionar. Para obter mais informações sobre as identidades gerenciadas atribuídas pelo usuário, consulte Gerenciar identidades gerenciadas atribuídas pelo usuário.

    Captura de tela mostrando uma identidade gerenciada atribuída pelo usuário.

  4. Depois que a identidade atribuída pelo usuário for adicionada, verifique se ela aparece na guia Atribuída pelo usuário da página Identidade .

    Captura de tela mostrando a identidade atribuída pelo usuário na página Identidade.

Habilitar a identidade gerenciada usando a CLI do Azure

Você pode usar a CLI do Azure para criar um novo cache com identidade gerenciada usando az redis create. Você pode atualizar um cache existente para usar a identidade gerenciada usando az redis identity.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando da CLI do Azure:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Habilitar identidade gerenciada usando o Azure PowerShell

Você pode usar o Azure PowerShell para criar um novo cache com identidade gerenciada usando New-AzRedisCache. Você pode atualizar um cache existente para usar a identidade gerenciada usando Set-AzRedisCache.

Por exemplo, para atualizar um cache para usar a identidade gerenciada pelo sistema, use o seguinte comando do Azure PowerShell:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurar a conta de armazenamento para usar a identidade gerenciada

  1. No portal do Azure, crie uma nova conta de armazenamento ou abra uma conta de armazenamento existente que você deseja conectar à instância de cache.

  2. Selecione controle de acesso (IAM) no menu de navegação à esquerda.

  3. Na página controle de acesso (IAM), selecioneAdicionar atribuição de> função.

    Captura de tela que mostra as configurações do IAM (Controle de Acesso).

  4. Na guia Função da página Adicionar Atribuição de Função, pesquise e selecione Colaborador de Dados do Blob de Armazenamento e escolha Avançar.

    Captura de tela que mostra o formulário Adicionar atribuição de função com uma lista de funções.

  5. Na guia Membros , para atribuir acesso, selecione Identidade Gerenciada e selecione Selecionar membros.

    Captura de tela que mostra o formulário Adicionar atribuição de função com um painel de membros.

  6. No painel Selecionar identidades gerenciadas , selecione a seta suspensa em Identidade gerenciada para ver todas as suas identidades gerenciadas atribuídas pelo usuário e atribuídas pelo sistema disponíveis. Se você tiver muitas identidades gerenciadas, poderá procurar a que deseja. Escolha as identidades gerenciadas desejadas e selecione Selecionar.

    Captura de tela mostrando adicionar o painel Selecionar identidades gerenciadas.

  7. Na página Adicionar atribuição de função , selecione Examinar + atribuir e, em seguida, selecione Examinar + atribuir novamente para confirmar.

    Captura de tela mostrando o formulário identidade gerenciada com identidades gerenciadas atribuídas.

  8. Na página Controle de Acesso (IAM) da conta de armazenamento, selecione Exibir em Exibir acesso a este recurso e procure por Colaborador de Dados Blob de Armazenamento na guia Atribuições de Função para verificar se as identidades gerenciadas foram adicionadas.

    Captura de tela da lista de colaboradores de dados do blob de armazenamento.

Importante

Para que a exportação funcione com uma conta de armazenamento com exceções no firewall, você deve:

Se você não usar a identidade gerenciada e, em vez disso, autorizar uma conta de armazenamento com uma chave, ter exceções de firewall na conta de armazenamento interromperá o processo de persistência e os processos de importação e exportação.

Usar identidade gerenciada com persistência de dados

  1. Na página do portal do Azure do cache Redis Premium do Azure que tem a função Colaborador de dados do blob de armazenamento, selecione Persistência de dados em Configurações no menu de navegação esquerdo.

  2. Verifique se o Método de Autenticação está definido como Identidade Gerenciada.

    Importante

    A seleção usa como padrão a identidade atribuída pelo sistema, se habilitada. Caso contrário, ele usará a primeira identidade listada atribuída pelo usuário.

  3. Em Conta de Armazenamento, selecione a conta de armazenamento configurada para usar a identidade gerenciada, se ainda não estiver selecionada, e selecione Salvar , se necessário.

    Captura de tela que mostra o painel de persistência de dados com o método de autenticação selecionado.

Agora você pode salvar backups de persistência de dados na conta de armazenamento usando a autenticação de identidade gerenciada.

Usar identidade gerenciada para importar e exportar dados de cache

  1. Na página do portal do Azure do cache Redis Premium do Azure que tem a função Colaborador de dados do blob de armazenamento, selecione Importar dados ou Exportar dados em Administração no menu de navegação esquerdo.

  2. Na tela Importar dados ou Exportar dados , selecione Identidade Gerenciada para Método de Autenticação.

  3. Para importar dados, na tela Importar dados, selecione Escolher Blob(s) ao lado de Arquivos RDB. Selecione os arquivos RDB (Banco de Dados Redis) no local de armazenamento de blobs e escolha Selecionar.

  4. Para exportar dados, na tela Exportar dados , insira um prefixo de nome de Blob e selecione Escolher Contêiner de Armazenamento ao lado de Exportar saída. Selecione ou crie um contêiner para armazenar os dados exportados e selecione Selecionar.

    Captura de tela que mostra a opção Identidade Gerenciada selecionada.

  5. Na tela Importar dados ou Exportar dados , selecione Importar ou Exportar , respectivamente.

    Observação

    Leva alguns minutos para importar ou exportar os dados.

Importante

Se você vir uma falha de exportação ou importação, verifique se sua conta de armazenamento foi configurada com a identidade atribuída pelo sistema ou pelo usuário do cache. A identidade usada usa como padrão a identidade atribuída pelo sistema, se habilitada. Caso contrário, ele usará a primeira identidade listada atribuída pelo usuário.

Conteúdo relacionado

  • Last updated on