Delen via

Beheerde identiteit voor opslagaccounts

  • Van toepassing op: ✅ Azure Cache for Redis

Een beheerde identiteit helpt Azure-services om verbinding met elkaar te maken door verificatie gestroomlijnder en veiliger te maken. In plaats van autorisatie tussen de services te beheren, gebruikt een beheerde identiteit Microsoft Entra-id om verificatie te bieden. In dit artikel wordt beschreven hoe u beheerde identiteit gebruikt om Azure Cache voor Redis-caches te verbinden met Azure Storage-accounts.

Met een beheerde identiteit kunt u het proces voor een veilige verbinding met een Azure Storage-account vereenvoudigen voor de volgende Azure Redis-scenario's:

Notitie

Alleen de azure Redis-gegevenspersistentie en import-exportfuncties maken gebruik van beheerde identiteiten. Deze functies zijn alleen beschikbaar in de Azure Redis Premium-laag, dus beheerde identiteit is alleen beschikbaar in de Azure Redis Premium-laag.

Azure Cache voor Redis ondersteunt zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten. Elk type beheerde identiteit heeft voordelen, maar de functionaliteit is hetzelfde in Azure Cache voor Redis.

  • Door het systeem toegewezen identiteit is specifiek voor de cacheresource. Als de cache wordt verwijderd, wordt de identiteit verwijderd.
  • Door de gebruiker toegewezen identiteit is specifiek voor een gebruiker. U kunt deze identiteit toewijzen aan elke resource, zoals een opslagaccount, dat beheerde identiteit ondersteunt. Deze toewijzing blijft behouden, zelfs als u de specifieke cacheresource verwijdert.

Het configureren van een beheerde identiteit voor azure Redis Premium-gegevenspersistentie of import-exportfuncties bestaat uit verschillende onderdelen:

Alle onderdelen moeten correct worden voltooid voordat Azure Redis-gegevenpersistentie of import-export toegang heeft tot de opslagrekening. Anders ziet u fouten of geen gegevens die zijn geschreven.

Bereik van beschikbaarheid

Laag Basis, Standaard Hoogwaardig Enterprise, Enterprise Flash
Beschikbaar Ja Ja Nee

Vereiste voorwaarden

  • Mogelijkheid om een Azure Redis-cache met een Premium-laag en een Azure Storage-account in een Azure-abonnement te maken en te configureren.
  • Een door de gebruiker toegewezen beheerde identiteit toewijzen: een beheerde identiteit die is gemaakt in hetzelfde Azure-abonnement als de Azure Redis-cache en het opslagaccount.

Beheerde identiteit inschakelen

U kunt beheerde identiteit inschakelen voor uw Azure Redis-cache met behulp van Azure Portal, Azure CLI of Azure PowerShell. U kunt beheerde identiteit inschakelen wanneer u een cache-exemplaar maakt of later.

Beheerde identiteit inschakelen in Azure Portal

Tijdens het maken van de cache kunt u alleen door het systeem toegewezen beheerde identiteit toewijzen. U kunt een door het systeem toegewezen identiteit of een door de gebruiker toegewezen identiteit toevoegen aan een bestaande cache.

Een nieuwe cache maken met beheerde identiteit

  1. Kies in Azure Portal om een Azure Cache voor Redis-cache te maken. Op het tabblad Basisbeginselen, selecteer Premium voor de Cache SKU, en voltooi de rest van de vereiste informatie.

    Schermopname van het maken van een Premium-cache.

  2. Selecteer het tabblad Geavanceerd en stel onder Door het systeem toegewezen beheerde identiteit de status in op Aan.

    Schermopname van het instellen van door het systeem toegewezen beheerde identiteit op Aan.

  3. Voltooi het proces voor het maken van de cache.

  4. Zodra de cache is geïmplementeerd, gaat u naar de cachepagina en selecteert u Identiteit onder Instellingen in het linkernavigatiemenu. Controleer of een object-id (principal) wordt weergegeven op het tabblad Door het systeem toegewezen tabblad van de pagina Identiteit .

    Schermopname van identiteit in het menu Resources.

Door het systeem toegewezen identiteit toevoegen aan een bestaande cache

  1. Selecteer identiteit onder Instellingen in het linkernavigatiemenu op de pagina Azure Portal voor uw Azure Redis Premium-cache.

  2. Stel op het tabblad Systeem toegewezenstatus in op Aan en selecteer Opslaan.

    Schermopname waarin 'Systeemtoegewezen' is geselecteerd en de status ingeschakeld is.

  3. Reageer op Ja op de prompt door het systeem toegewezen beheerde identiteit inschakelen .

  4. Zodra de identiteit is toegewezen, controleert u of een object-id (principal) wordt weergegeven op het tabblad Door het systeem toegewezen tabblad van de pagina Identiteit .

    Schermopname van de Object-ID (principal).

Een door de gebruiker toegewezen identiteit toevoegen aan een bestaande cache

  1. Selecteer identiteit onder Instellingen in het linkernavigatiemenu op de pagina Azure Portal voor uw Azure Redis Premium-cache.

  2. Selecteer het tabblad Gebruiker toegewezen en selecteer vervolgens Toevoegen.

    De door de gebruiker toegewezen identiteitsstatus is ingeschakeld.

  3. Selecteer in het scherm Door de gebruiker toegewezen beheerde identiteit toevoegen een beheerde identiteit in uw abonnement en selecteer Toevoegen. Zie De door de gebruiker toegewezen identiteiten beheren voor meer informatie over door de gebruiker toegewezen beheerde identiteiten.

    Schermopname van een door de gebruiker toegewezen beheerde identiteit.

  4. Zodra de door de gebruiker toegewezen identiteit is toegevoegd, controleert u of deze wordt weergegeven op het tabblad Door de gebruiker toegewezen identiteit op de pagina Identiteit .

    Schermopname van de door de gebruiker toegewezen identiteit op de pagina Identiteit.

Beheerde identiteit inschakelen met behulp van Azure CLI

U kunt de Azure CLI gebruiken voor het maken van een nieuwe cache met beheerde identiteit met behulp van az redis create. U kunt een bestaande cache bijwerken om beheerde identiteit te gebruiken met behulp van az redis identity.

Als u bijvoorbeeld een cache wilt bijwerken om een door het systeem beheerde identiteit te gebruiken, gebruikt u de volgende Azure CLI-opdracht:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Beheerde identiteit inschakelen met Behulp van Azure PowerShell

U kunt Azure PowerShell gebruiken voor het maken van een nieuwe cache met beheerde identiteit met behulp van New-AzRedisCache. U kunt een bestaande cache bijwerken om beheerde identiteit te gebruiken met behulp van Set-AzRedisCache.

Als u bijvoorbeeld een cache wilt bijwerken om een door het systeem beheerde identiteit te gebruiken, gebruikt u de volgende Azure PowerShell-opdracht:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Het opslagaccount configureren voor het gebruik van een beheerde identiteit

  1. Maak in Azure Portal een nieuw opslagaccount of open een bestaand opslagaccount dat u wilt verbinden met uw cache-exemplaar.

  2. Selecteer Toegangsbeheer (IAM) in het linkernavigatiemenu.

  3. Selecteer Op de pagina Toegangsbeheer (IAM) de optie Roltoewijzing toevoegen toevoegen>.

    Schermopname van de IAM-instellingen (Access Control).

  4. Zoek op het tabblad Rol op de pagina Roltoewijzing toevoegen naar en selecteer Storage Blob Data Contributor en selecteer vervolgens Volgende.

    Schermopname van het formulier Roltoewijzing toevoegen met een lijst met rollen.

  5. Op het tabblad Leden, voor Toegang toewijzen aan, selecteer Beheerde Identiteit en selecteer vervolgens Selecteer Leden.

    Schermopname met het formulier voor het toevoegen van een roltoewijzing met het deelvenster Leden.

  6. In het deelvenster Beheerde identiteiten selecteer de pijl van de vervolgkeuzelijst onder Beheerde identiteit om alle beschikbare door de gebruiker toegewezen en door het systeem toegewezen beheerde identiteiten weer te geven. Als u veel beheerde identiteiten hebt, kunt u zoeken naar de gewenste identiteit. Kies de gewenste beheerde identiteiten en selecteer vervolgens Selecteren.

    Schermopname van het gedeelte 'Selecteer beheerde identiteiten' toevoegen.

  7. Selecteer Op de pagina Roltoewijzing toevoegen de optie Controleren + toewijzen en selecteer vervolgens Beoordelen en opnieuw toewijzen om te bevestigen.

    Schermopname van het formulier Beheerde identiteit waaraan beheerde identiteiten zijn toegewezen.

  8. Op de pagina Toegangsbeheer (IAM) van het opslagaccount, selecteert u Weergave onder Toegang tot deze resource weergeven, en zoekt u vervolgens op het tabblad Roltoewijzingen naar Bijdrager voor opslagblobgegevens om te verifiëren dat de beheerde identiteiten zijn toegevoegd.

    Schermopname van de lijst met inzenders voor opslagblobgegevens.

Belangrijk

Als u wilt exporteren met een opslagaccount met firewall-uitzonderingen, moet u het volgende doen:

Als u geen beheerde identiteit gebruikt en in plaats daarvan een opslagaccount met een sleutel autoriseert, wordt het persistentieproces en de import-exportprocessen verbroken door firewall-uitzonderingen op het opslagaccount.

Beheerde identiteit gebruiken met gegevenspersistentie

  1. Selecteer op de azure-portalpagina voor uw Azure Redis Premium-cache met de rol Inzender voor opslagblobgegevens de optie Gegevenspersistentie onder Instellingen in het linkernavigatiemenu.

  2. Zorg ervoor dat de verificatiemethode is ingesteld op Beheerde identiteit.

    Belangrijk

    De selectie wordt standaard ingesteld op de door het systeem toegewezen identiteit als deze is ingeschakeld. Anders wordt de eerst genoemde door de gebruiker toegewezen identiteit gebruikt.

  3. Selecteer onder Opslagaccount het opslagaccount dat u hebt geconfigureerd voor het gebruik van beheerde identiteit, als dit nog niet is geselecteerd en selecteer indien nodig Opslaan .

    Schermopname van het deelvenster Gegevenspersistentie met verificatiemethode geselecteerd.

U kunt nu back-ups van gegevenspersistentie opslaan in het opslagaccount met behulp van verificatie van beheerde identiteiten.

Beheerde identiteit gebruiken om cachegegevens te importeren en exporteren

  1. Selecteer op de azure-portalpagina voor uw Azure Redis Premium-cache met de rol Inzender voor opslagblobgegevensde optie Gegevens importeren of exporteren onder Beheer in het linkernavigatiemenu.

  2. Selecteer in het scherm Gegevens importeren of Gegevens exporterenbeheerde identiteit voor verificatiemethode.

  3. Als u gegevens wilt importeren, selecteert u in het scherm Gegevens importeren de optie Blob(s) naast RDB-bestand(en) kiezen. Selecteer uw RDB-bestand(en) (Redis Database) van de blob storage locatie en klik op Selecteren.

  4. Als u gegevens wilt exporteren, voert u in het scherm Gegevens exporteren een voorvoegsel voor de blobnaam in en selecteert u Opslagcontainer kiezen naast Uitvoer exporteren. Selecteer of maak een container voor het opslaan van de geëxporteerde gegevens en selecteer Selecteren.

    Schermopname met Beheerde identiteit geselecteerd.

  5. Selecteer in het scherm Gegevens importeren of Gegevens exporteren respectievelijk Importeren of Exporteren .

    Notitie

    Het importeren of exporteren van de gegevens duurt enkele minuten.

Belangrijk

Als u een export- of importfout ziet, controleert u of uw opslagaccount is geconfigureerd met de door het systeem toegewezen identiteit of door de gebruiker toegewezen identiteit van uw cache. De identiteit wordt standaard ingesteld op systeemtoegewezen identiteit, indien ingeschakeld. Anders wordt de eerst genoemde door de gebruiker toegewezen identiteit gebruikt.

Gerelateerde inhoud