Jak używać tożsamości zarządzanych z usługą Azure File Sync (wersja zapoznawcza)
Obsługa tożsamości zarządzanych przypisanych przez system w usłudze Azure File Sync jest teraz dostępna w wersji zapoznawczej.
Obsługa tożsamości zarządzanej eliminuje konieczność używania kluczy udostępnionych jako metody uwierzytelniania przy użyciu przypisanej przez system tożsamości zarządzanej dostarczonej przez identyfikator firmy Microsoft Entra.
Po włączeniu tej konfiguracji tożsamości zarządzane przypisane przez system będą używane w następujących scenariuszach:
- Uwierzytelnianie usługi synchronizacji magazynu z udziałem plików platformy Azure
- Zarejestrowane uwierzytelnianie serwera w udziale plików platformy Azure
- Zarejestrowane uwierzytelnianie serwera w usłudze synchronizacji magazynu
Aby dowiedzieć się więcej o korzyściach związanych z używaniem tożsamości zarządzanych, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
Aby skonfigurować wdrożenie usługi Azure File Sync w celu korzystania z tożsamości zarządzanych przypisanych przez system, postępuj zgodnie ze wskazówkami w kolejnych sekcjach.
Wymagania wstępne
Musisz mieć wdrożona usługę synchronizacji magazynu z co najmniej jednym zarejestrowanym serwerem.
Na zarejestrowanym serwerze musi być zainstalowany agent usługi Azure File Sync w wersji 19.1.0.0 lub nowszej .
Na kontach magazynu używanych przez usługę Azure File Sync:
- Musisz być członkiem roli zarządzania właścicielami lub mieć uprawnienia "Microsoft.Authorization/roleassignments/write".
- Zezwalaj usługom platformy Azure na liście zaufanych usług na dostęp do tego wyjątku konta magazynu należy włączyć w wersji zapoznawczej. Dowiedz się więcej
- Zezwalaj na dostęp do klucza konta magazynu musi być włączony w wersji zapoznawczej. Aby sprawdzić to ustawienie, przejdź do konta magazynu i wybierz pozycję Konfiguracja w sekcji Ustawienia.
Moduł Az.StorageSync programu PowerShell w wersji 2.2.0 lub nowszej musi być zainstalowany na maszynie, która będzie używana do konfigurowania usługi Azure File Sync do korzystania z tożsamości zarządzanych. Aby zainstalować najnowszy moduł Az.StorageSync programu PowerShell, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Install-Module Az.StorageSync -Force
Dostępność w regionach
Obsługa usługi Azure File Sync dla tożsamości zarządzanych przypisanych przez system (wersja zapoznawcza) jest dostępna we wszystkich regionach publicznej i gov platformy Azure, które obsługują usługę Azure File Sync.
Włączanie tożsamości zarządzanej przypisanej przez system na zarejestrowanych serwerach
Aby można było skonfigurować usługę Azure File Sync do korzystania z tożsamości zarządzanych, zarejestrowane serwery muszą mieć tożsamość zarządzaną przypisaną przez system, która będzie używana do uwierzytelniania w usłudze Azure File Sync i udziałach plików platformy Azure.
Aby włączyć tożsamość zarządzaną przypisaną przez system na zarejestrowanym serwerze z zainstalowanym agentem usługi Azure File Sync w wersji 19, wykonaj następujące kroki:
- Jeśli serwer jest hostowany poza platformą Azure, musi być serwerem z obsługą usługi Azure Arc, aby mieć tożsamość zarządzaną przypisaną przez system. Aby uzyskać więcej informacji na temat serwerów z obsługą usługi Azure Arc i sposobu instalowania agenta połączonej maszyny platformy Azure, zobacz: Omówienie serwerów z obsługą usługi Azure Arc.
- Jeśli serwer jest maszyną wirtualną platformy Azure, włącz ustawienie tożsamości zarządzanej przypisanej przez system na maszynie wirtualnej. Aby uzyskać więcej informacji, zobacz Konfigurowanie tożsamości zarządzanych na maszynach wirtualnych platformy Azure.
Uwaga
- Aby można było skonfigurować usługę synchronizacji magazynu, co najmniej jeden zarejestrowany serwer musi mieć tożsamość zarządzaną przypisaną przez system.
- Po skonfigurowaniu usługi synchronizacji magazynu do korzystania z tożsamości zarządzanych zarejestrowane serwery, które nie mają przypisanej przez system tożsamości zarządzanej, będą nadal używać klucza współużytkowanego do uwierzytelniania w udziałach plików platformy Azure.
Jak sprawdzić, czy zarejestrowane serwery mają tożsamość zarządzaną przypisaną przez system
Aby sprawdzić, czy zarejestrowane serwery mają tożsamość zarządzaną przypisaną przez system, uruchom następujące polecenie programu PowerShell:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, czy właściwość LatestApplicationId ma identyfikator GUID wskazujący, że serwer ma tożsamość zarządzaną przypisaną przez system, ale nie jest obecnie skonfigurowana do używania tożsamości zarządzanej.
Jeśli wartość właściwości ActiveAuthType to Certificate i LatestApplicationId nie ma identyfikatora GUID, serwer nie ma przypisanej przez system tożsamości zarządzanej i będzie używać kluczy udostępnionych do uwierzytelniania w udziale plików platformy Azure.
Uwaga
Po skonfigurowaniu serwera do korzystania z tożsamości zarządzanej przypisanej przez system, wykonując kroki opisane w poniższej sekcji, właściwość LatestApplicationId nie jest już używana (będzie pusta), wartość właściwości ActiveAuthType zostanie zmieniona na ManagedIdentity, a właściwość ApplicationId będzie mieć identyfikator GUID, który jest tożsamością zarządzaną przypisaną przez system.
Konfigurowanie wdrożenia usługi Azure File Sync w celu używania tożsamości zarządzanych przypisanych przez system
Aby skonfigurować usługę synchronizacji magazynu i zarejestrowane serwery do korzystania z tożsamości zarządzanych przypisanych przez system, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose
Polecenie cmdlet Set-AzStorageSyncServiceIdentity wykonuje następujące kroki i potrwa kilka minut (lub dłużej w przypadku dużych topologii):
- Sprawdza, czy co najmniej jeden zarejestrowany serwer ma tożsamość zarządzaną przypisaną przez system.
- Polecenie cmdlet zostanie zatrzymane w tym kroku, jeśli nie ma zarejestrowanych serwerów z tożsamością zarządzaną przypisaną przez system.
- Włącza tożsamość zarządzaną przypisaną przez system dla zasobu usługi synchronizacji magazynu.
- Udziela przypisanej przez system tożsamości zarządzanej usługi synchronizacji magazynu do kont magazynu (rola Współautor konta magazynu).
- Udziela przypisanej przez system tożsamości zarządzanej usługi synchronizacji magazynu do udziałów plików platformy Azure (rola współautora danych plików magazynu).
- Udziela przypisanej przez system tożsamości zarządzanej zarejestrowanego serwera dostępu do udziałów plików platformy Azure (rola współautora danych plików magazynu).
- Konfiguruje usługę synchronizacji magazynu do używania tożsamości zarządzanej przypisanej przez system.
- Konfiguruje zarejestrowane serwery do używania tożsamości zarządzanej przypisanej przez system.
Użyj polecenia cmdlet Set-AzStorageSyncServiceIdentity w dowolnym momencie, aby skonfigurować dodatkowe zarejestrowane serwery do korzystania z tożsamości zarządzanych.
Uwaga
Po skonfigurowaniu zarejestrowanych serwerów do używania tożsamości zarządzanej przypisanej przez system może upłynąć do jednej godziny, zanim serwer użyje przypisanej przez system tożsamości zarządzanej do uwierzytelniania w usłudze synchronizacji magazynu i udziałach plików.
Jak sprawdzić, czy usługa synchronizacji magazynu korzysta z tożsamości zarządzanej przypisanej przez system
Aby sprawdzić, czy usługa synchronizacji magazynu korzysta z tożsamości zarządzanej przypisanej przez system, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, czy wartość właściwości UseIdentity ma wartość True. Jeśli wartość to Fałsz, usługa synchronizacji magazynu używa kluczy udostępnionych do uwierzytelniania w udziałach plików platformy Azure.
Jak sprawdzić, czy zarejestrowany serwer jest skonfigurowany do używania tożsamości zarządzanej przypisanej przez system
Aby sprawdzić, czy zarejestrowany serwer jest skonfigurowany do używania tożsamości zarządzanej przypisanej przez system, uruchom następujące polecenie w oknie programu PowerShell z podwyższonym poziomem uprawnień:
Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>
Sprawdź, czy właściwość ApplicationId ma identyfikator GUID, który wskazuje, że serwer jest skonfigurowany do używania tożsamości zarządzanej. Wartość właściwości ActiveAuthType zostanie zaktualizowana do klasy ManagedIdentity po użyciu tożsamości zarządzanej przypisanej przez system.
Uwaga
Po skonfigurowaniu zarejestrowanych serwerów do używania tożsamości zarządzanej przypisanej przez system może upłynąć do jednej godziny, zanim serwer użyje przypisanej przez system tożsamości zarządzanej do uwierzytelniania w usłudze synchronizacji magazynu i udziałach plików platformy Azure.
Więcej informacji
Po skonfigurowaniu usługi synchronizacji magazynu i zarejestrowanych serwerów do używania tożsamości zarządzanej przypisanej przez system:
- Nowe punkty końcowe (chmura lub serwer), które są tworzone, będą używać przypisanej przez system tożsamości zarządzanej do uwierzytelniania w udziale plików platformy Azure.
- Użyj polecenia cmdlet Set-AzStorageSyncServiceIdentity w dowolnym momencie, aby skonfigurować dodatkowe zarejestrowane serwery do korzystania z tożsamości zarządzanych.
Jeśli wystąpią problemy, zobacz Rozwiązywanie problemów z tożsamością zarządzaną usługi Azure File Sync.