Как использовать управляемые удостоверения с Azure File Sync

• Агент синхронизации файлов Azure версии 20.0.0.0 или более поздней версии должен быть установлен на зарегистрированном сервере.

• Для использования учетных записей хранения, которые задействованы в синхронизации файлов Azure, необходимо быть членом роли администратора Azure File Sync или владельцем либо иметь разрешение "Microsoft.Authorization/roleassignments/write".

  При назначении роли администратора синхронизации файлов Azure выполните следующие действия, чтобы обеспечить минимальные привилегии.

  1. На вкладке "Условия" выберите разрешить пользователям назначать выбранные роли только выбранным субъектам (меньше привилегий).

  2. Щелкните Выбрать роли и субъекты, а затем выберите Добавить действие в разделе Условие №1.

  3. Выберите "Создать назначение роли" и нажмите кнопку "Выбрать".

  4. Выберите "Добавить выражение" и выберите "Запрос".

  5. В разделе "Источник атрибута" выберите идентификатор определения роли в разделе "Атрибут", а затем выберите ForAnyOfAnyValues:GuidEquals в разделе "Оператор".

  6. Выберите "Добавить роли". Добавьте Роль читателя и доступа к данным, Участник с привилегиями для данных файлов хранилища и Участник учетной записи хранилища, а затем выберите Сохранить.

• Агент синхронизации файлов Azure версии 20.0.0.0 или более поздней версии должен быть установлен на зарегистрированном сервере.

• Для использования учетных записей хранения, которые задействованы в синхронизации файлов Azure, необходимо быть членом роли администратора Azure File Sync или владельцем либо иметь разрешение "Microsoft.Authorization/roleassignments/write".

  При назначении роли администратора синхронизации файлов Azure выполните следующие действия, чтобы обеспечить минимальные привилегии.

  1. На вкладке "Условия" выберите разрешить пользователям назначать выбранные роли только выбранным субъектам (меньше привилегий).

  2. Щелкните Выбрать роли и субъекты, а затем выберите Добавить действие в разделе Условие №1.

  3. Выберите "Создать назначение роли" и нажмите кнопку "Выбрать".

  4. Выберите "Добавить выражение" и выберите "Запрос".

  5. В разделе "Источник атрибута" выберите идентификатор определения роли в разделе "Атрибут", а затем выберите ForAnyOfAnyValues:GuidEquals в разделе "Оператор".

  6. Выберите "Добавить роли". Добавьте Роль читателя и доступа к данным, Участник с привилегиями для данных файлов хранилища и Участник учетной записи хранилища, а затем выберите Сохранить.

• Модуль Az.StorageSync PowerShell версии 2.5.0 или более поздней должен быть установлен на компьютере, который будет использоваться для настройки синхронизации файлов Azure с использованием управляемых удостоверений. Чтобы установить последний модуль Az.StorageSync PowerShell, выполните следующую команду из окна PowerShell с повышенными привилегиями:

  Install-Module Az.StorageSync -Force
  

Чтобы проверить, имеют ли зарегистрированные серверы управляемое удостоверение, назначаемое системой, выполните следующие действия с помощью портала Azure:

1. Перейдите в службу синхронизации хранилища на портале Azure, разверните раздел "Параметры " и выберите "Управляемое удостоверение".

2. В разделе "Зарегистрированные серверы" выберите плитку "Готово к использованию управляемого идентификатора ". На этой плитке отображается список серверов с управляющим удостоверением, назначенным системой. Если сервер не указан, выполните действия, чтобы включить управляемое удостоверение, назначаемое системой, на зарегистрированных серверах.

Чтобы проверить, имеют ли зарегистрированные серверы управляемое удостоверение, назначаемое системой, выполните следующую команду PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что свойство LatestApplicationId имеет GUID, указывающий, что сервер имеет управляемое удостоверение, назначаемое системой, но в настоящее время не настроено для использования управляемого удостоверения.

Если для свойства ActiveAuthTypeзадано значение Certificate и LatestApplicationId не имеет GUID, сервер не имеет управляемого удостоверения, назначаемого системой, и будет использовать общие ключи для проверки подлинности в общей папке Azure.

Чтобы настроить службу синхронизации хранилища и зарегистрированные серверы для использования управляемых удостоверений, назначаемых системой, выполните следующие действия на портале Azure:

1. Перейдите в службу синхронизации хранилища на портале Azure, разверните раздел "Параметры " и выберите "Управляемое удостоверение".

2. Выберите "Включить управляемое удостоверение", чтобы начать настройку.

Для выполнения следующих действий потребуется несколько минут (или дольше для крупных топологий).

• Активирует идентификатор с управлением, назначаемый системой, для ресурса службы синхронизации данных хранилища.

• Предоставляет управляемой системе идентификации, назначенной системой службы синхронизации хранилищ, доступ к учетным записям хранения (роль участника для учетных записей хранения).

• Предоставляет управляемому удостоверению, назначенному системой службы синхронизации хранилища, доступ к вашим файловым ресурсам Azure (роль привилегированного участника данных файлового хранилища).

• Предоставляет управляющей идентичности, назначенной системой, зарегистрированному серверу доступ к общим папкам Azure (роль Привилегированного участника данных файлов хранилища).

• Настраивает службу синхронизации хранилища для использования системой назначаемого управляемого удостоверения.

• Настраивает зарегистрированные серверы для использования системного управляемого удостоверения.

Чтобы настроить службу синхронизации хранилища и зарегистрированные серверы для использования управляемых удостоверений, назначаемых системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Командлет Set-AzStorageSyncServiceIdentity выполняет следующие шаги для вас и завершится через несколько минут (или дольше для крупных топологий).

• Активирует идентификатор с управлением, назначаемый системой, для ресурса службы синхронизации данных хранилища.
• Предоставляет управляемой системе идентификации, назначенной системой службы синхронизации хранилищ, доступ к учетным записям хранения (роль участника для учетных записей хранения).
• Предоставляет управляемому удостоверению, назначенному системой службы синхронизации хранилища, доступ к вашим файловым ресурсам Azure (роль привилегированного участника данных файлового хранилища).
• Предоставляет управляющей идентичности, назначенной системой, зарегистрированному серверу доступ к общим папкам Azure (роль Привилегированного участника данных файлов хранилища).
• Настраивает службу синхронизации хранилища для использования системой назначаемого управляемого удостоверения.
• Настраивает зарегистрированные серверы для использования системного управляемого удостоверения.

Используйте командлет Set-AzStorageSyncServiceIdentity всякий раз, когда вам нужно сконфигурировать дополнительные зарегистрированные серверы для использования управляемых удостоверений.

Чтобы проверить, использует ли служба синхронизации хранилища управляемое удостоверение, назначаемое системой, выполните следующие действия на портале Azure:

1. Перейдите в службу синхронизации хранилища на портале Azure, откройте раздел "Параметры" и выберите "Управляемое удостоверение".

2. В разделе "Зарегистрированные серверы" , если у вас есть по крайней мере один сервер, указанный на плитке "Использование управляемого идентификатора ", служба настроена на использование управляемых удостоверений.

Чтобы проверить, использует ли служба синхронизации хранилища управляемое удостоверение, назначаемое системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что значение свойства UseIdentity имеет значение True. Если значение равно False, служба синхронизации хранилища использует общие ключи для проверки подлинности в общих папках Azure.

Чтобы проверить, настроен ли зарегистрированный сервер для использования управляемого удостоверения, назначаемого системой, выполните следующие действия на портале Azure:

1. Перейдите в службу синхронизации хранилища на портале Azure, откройте раздел "Параметры" и выберите "Управляемое удостоверение".

2. В разделе "Зарегистрированные серверы" выберите плитку "Использование управляемого идентификатора " и убедитесь, что указан сервер.

Чтобы проверить, настроен ли зарегистрированный сервер на использование управляемого удостоверения, назначаемого системой, выполните следующую команду из окна PowerShell с повышенными привилегиями:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Убедитесь, что свойство ApplicationId содержит GUID, указывающий, что сервер настроен для использования управляемого удостоверения. Значение свойства ActiveAuthType будет обновлено до ManagedIdentity после использования управляемого удостоверения, назначаемого системой.