Condividi tramite

Identità gestita per gli account di archiviazione

  • Articolo
  • Si applica a: ✅ Azure Cache for Redis

Un'identità gestita consente ai servizi di Azure di connettersi tra loro rendendo l'autenticazione più semplificata e sicura. Anziché gestire l'autorizzazione tra i servizi, un'identità gestita usa l'ID Microsoft Entra per fornire l'autenticazione. Questo articolo descrive come usare l'identità gestita per collegare le cache Azure Cache per Redis agli account di archiviazione di Azure.

Un'identità gestita consente di semplificare il processo di connessione sicura a un account di archiviazione di Azure per gli scenari di Azure Redis seguenti:

Nota

Solo le funzionalità di persistenza e esportazione dei dati di Azure Redis usano l'identità gestita. Queste funzionalità sono disponibili solo nel livello Premium di Azure Redis, quindi l'identità gestita è disponibile solo nel livello Premium di Azure Redis.

Cache Redis di Azure supporta identità gestite assegnate dal sistema e assegnate dall'utente . Ogni tipo di identità gestita presenta vantaggi, ma la funzionalità è la stessa in Cache Redis di Azure.

  • L'identità assegnata dal sistema è specifica della risorsa della cache. Se la cache viene eliminata, l'identità viene eliminata.
  • L'identità assegnata dall'utente è specifica per un utente. È possibile assegnare questa identità a qualsiasi risorsa, ad esempio un account di archiviazione, che supporta l'identità gestita. Questa assegnazione rimane anche se si elimina la risorsa cache specifica.

La configurazione dell'identità gestita per la persistenza dei dati Di Azure Redis Premium o le funzionalità di importazione-esportazione sono costituite da diverse parti:

Tutte le parti devono essere completate correttamente prima che la persistenza dei dati o l'import-export di Azure Redis possano accedere all'account di archiviazione. In caso contrario, vengono visualizzati errori o non sono stati scritti dati.

Ambito della disponibilità

Livello Basic e Standard Di alta qualità Enterprise, Enterprise Flash
Disponibile NO

Prerequisiti

  • Possibilità di creare e configurare una cache Redis di Azure di livello Premium e un account di archiviazione di Azure in una sottoscrizione di Azure.
  • Per assegnare un'identità gestita assegnata dall'utente: un'identità gestita creata nella stessa sottoscrizione di Azure della cache di Azure per Redis e dell'account di archiviazione.

Abilitare l'identità gestita

È possibile abilitare l'identità gestita per la cache Redis di Azure usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell. È possibile abilitare l'identità gestita quando si crea un'istanza della cache o successivamente.

Abilitare l'identità gestita nel portale di Azure

Durante la creazione della cache, è possibile assegnare solo un'identità gestita assegnata dal sistema. È possibile aggiungere un'identità assegnata dal sistema o assegnata dall'utente a una cache esistente.

Creare una nuova cache con identità gestita

  1. Nel portale di Azurescegliere di creare una cache di Azure per Redis. Nella scheda Informazioni di base selezionare Premium per lo SKU della cache e completare le altre informazioni necessarie.

    Screenshot della creazione di una cache Premium.

  2. Selezionare la scheda Avanzate e in Identità gestita assegnata dal sistema impostare Stato su .

    Screenshot che mostra l'impostazione Identità gestita assegnata dal sistema su Attivato.

  3. Completare il processo di creazione della cache.

  4. Dopo aver distribuito la cache, passare alla pagina della cache e selezionare Identità in Impostazioni nel menu di spostamento a sinistra. Verificare che sia visualizzato un ID oggetto (entità principale) nella scheda Assegnata dal sistema della pagina Identità.

    Screenshot che mostra Identità nel menu Risorse.

Aggiungere un'identità assegnata dal sistema a una cache esistente

  1. Nella pagina del portale di Azure per la cache Redis Premium di Azure, selezionare Identità in Impostazioni nel menu di navigazione a sinistra.

  2. Nella scheda Assegnata dal sistema impostare Stato su e quindi selezionare Salva.

    Screenshot che mostra l'opzione Assegnato dal sistema selezionata e lo stato è attivato.

  3. Rispondere al prompt Abilita identità gestita assegnata dal sistema .

  4. Dopo aver assegnato l'identità, verificare che un ID di oggetto (principale) venga visualizzato nella scheda Assegnata dal sistema della pagina Identità.

    Screenshot che mostra l'ID oggetto (principale).

Aggiungere un'identità assegnata dall'utente a una cache esistente

  1. Nella pagina del portale di Azure per la cache Azure Redis Premium selezionare Identità in Impostazioni nel menu di navigazione a sinistra.

  2. Selezionare la scheda Assegnata dall'utente e quindi selezionare Aggiungi.

    Lo stato dell'identità assegnato dall'utente è attivo.

  3. Nella schermata Aggiungi identità gestita assegnata dall'utente, selezionare un'identità gestita dalla propria sottoscrizione e selezionare Aggiungi. Per altre informazioni sulle identità gestite assegnate dall'utente, vedere Gestire l'identità assegnata dall'utente.

    Screenshot che mostra un'identità gestita assegnata dall'utente.

  4. Dopo aver aggiunto l'identità assegnata dall'utente, verificare che venga visualizzata nella scheda Assegnata dall'utente della pagina Identità .

    Screenshot che mostra l'identità assegnata dall'utente nella pagina Identità.

Abilitare l'identità gestita tramite l'interfaccia della riga di comando di Azure

È possibile usare l'interfaccia della riga di comando di Azure per creare una nuova cache con identità gestita usando az redis create. È possibile aggiornare una cache esistente per usare l'identità gestita usando az redis identity.

Ad esempio, per aggiornare una cache per usare l'identità gestita dal sistema, usare il comando dell'interfaccia della riga di comando di Azure seguente:


az redis identity assign \--mi-system-assigned \--name MyCacheName \--resource-group MyResource Group

Abilitare l'identità gestita con Azure PowerShell

È possibile usare Azure PowerShell per creare una nuova cache con identità gestita usando New-AzRedisCache. È possibile aggiornare una cache esistente per usare l'identità gestita usando Set-AzRedisCache.

Ad esempio, per aggiornare una cache per usare l'identità gestita dal sistema, usare il comando di Azure PowerShell seguente:

Set-AzRedisCache -ResourceGroupName \"MyGroup\" -Name \"MyCache\" -IdentityType "SystemAssigned"

Configurare l'account di archiviazione per l'uso dell'identità gestita

  1. Nel portale di Azure creare un nuovo account di archiviazione o aprire un account di archiviazione esistente che si vuole connettere all'istanza della cache.

  2. Selezionare Controllo di accesso (IAM) dal menu di spostamento a sinistra.

  3. Nella pagina Controllo di accesso (IAM) selezionare Aggiungi assegnazione>di ruolo.

    Screenshot che mostra le impostazioni di Controllo di accesso (IAM).

  4. Nella scheda Ruolo della pagina Aggiungi assegnazione di ruolo, cerca e seleziona Storage Blob Data Contributor e quindi seleziona Avanti.

    Screenshot che mostra il modulo Aggiungi assegnazione di ruolo con l'elenco dei ruoli.

  5. Nella scheda Membri , per Assegna accesso a, selezionare Identità gestita e quindi selezionare Seleziona membri.

    Screenshot che mostra il modulo di aggiunta assegnazione di ruolo con il riquadro membri.

  6. Nel riquadro Seleziona identità gestite selezionare la freccia a discesa in Identità gestita per visualizzare tutte le identità gestite assegnate dall'utente e assegnate dal sistema disponibili. Se si dispone di molte identità gestite, è possibile cercare quella desiderata. Scegliere le identità gestite che si desiderano e quindi selezionare Seleziona.

    Screenshot che mostra il riquadro aggiungi Identità gestite selezionate.

  7. Nella pagina Aggiungi assegnazione di ruolo selezionare Rivedi e assegna e quindi selezionare di nuovo Rivedi e assegna per confermare.

    Screenshot che mostra il modulo Identità gestita con identità gestite assegnate.

  8. Nella pagina Controllo di accesso (IAM) dell'account di archiviazione selezionare Visualizza in Visualizza accesso a questa risorsa e quindi cercare Collaboratore dati BLOB di archiviazione nella scheda Assegnazioni di ruolo per verificare che le identità gestite siano state aggiunte.

    Screenshot dell'elenco Collaboratore ai dati del BLOB di archiviazione.

Importante

Affinché l'esportazione funzioni con un account di archiviazione con eccezioni del firewall, è necessario:

Se non si usa l'identità gestita e si autorizza invece un account di archiviazione con una chiave, la presenza di eccezioni del firewall nell'account di archiviazione interrompe il processo di persistenza e i processi di importazione-esportazione.

Usare l'identità gestita con la persistenza dei dati

  1. Nella pagina del portale di Azure per la cache di Azure per Redis Premium con il ruolo di Collaboratore ai dati del BLOB di archiviazione selezionare Persistenza dei dati in Impostazioni nel menu di spostamento a sinistra.

  2. Assicurarsi che il metodo di autenticazione sia impostato su Identità gestita.

    Importante

    Se abilitata, la selezione usa per impostazione predefinita l'identità assegnata dal sistema. In caso contrario, usa la prima identità assegnata all'utente elencata.

  3. Sotto Account di Archiviazione, seleziona l'account di archiviazione che hai configurato per usare l'identità gestita, se non è già selezionato, e seleziona Salva se necessario.

    Screenshot che mostra il riquadro di persistenza dei dati con il metodo di autenticazione selezionato.

È ora possibile salvare i backup di persistenza dei dati nell'account di archiviazione usando l'autenticazione dell'identità gestita.

Usare l'identità gestita per importare ed esportare i dati della cache

  1. Nella pagina del portale di Azure per la cache di Azure per Redis Premium con il ruolo Collaboratore ai dati del BLOB di archiviazione selezionare Importa dati o Esporta dati in Amministrazione nel menu di spostamento a sinistra.

  2. Nella schermata Importa dati o Esporta dati selezionare Identità gestita per Metodo di autenticazione.

  3. Per importare i dati, nella schermata Importa dati selezionare Scegli BLOB accanto a File RDB. Selezionare il file o i file del database Redis (RDB) dal percorso di archiviazione BLOB e selezionare Seleziona.

  4. Per esportare i dati, nella schermata Esporta dati immettere un prefisso del nome BLOB e quindi selezionare Scegli contenitore di archiviazione accanto a Esporta output. Selezionare o creare un contenitore per contenere i dati esportati e selezionare Seleziona.

    Screenshot che mostra l'opzione Identità gestita selezionata.

  5. Nella schermata Importa dati o Esporta dati selezionare rispettivamente Importa o Esporta .

    Nota

    L'importazione o l'esportazione dei dati richiede alcuni minuti.

Importante

Se si verifica un errore di esportazione o importazione, verificare che l'account di archiviazione sia stato configurato con l'identità assegnata dal sistema o assegnata dall'utente della cache. L'identità usata predefinita è l'identità assegnata dal sistema, se abilitata. In caso contrario, utilizza la prima identità elencata assegnata dall'utente.

Contenuto correlato