Como usar identidades gerenciadas com o Azure File Sync (visualização)

  • Artigo

O suporte do Azure File Sync para identidades gerenciadas atribuídas pelo sistema agora está em visualização.

O suporte a Identidade Gerenciada elimina a necessidade de chaves compartilhadas como método de autenticação utilizando uma identidade gerenciada atribuída pelo sistema fornecida pelo Microsoft Entra ID.

Quando você habilitar essa configuração, as identidades gerenciadas atribuídas ao sistema serão usadas para os seguintes cenários:

  • Autenticação do Serviço de Sincronização de Armazenamento para compartilhamento de arquivos do Azure
  • Autenticação de servidor registrado para compartilhamento de arquivos do Azure
  • Autenticação do servidor registrado no Storage Sync Service

Para saber mais sobre os benefícios do uso de identidades gerenciadas, consulte Identidades gerenciadas para recursos do Azure.

Para configurar sua implantação do Azure File Sync para utilizar identidades gerenciadas atribuídas pelo sistema, siga as orientações nas seções subsequentes.

Pré-requisitos

  • Você precisa ter um Serviço de Sincronização de Armazenamento implantado com pelo menos um servidor registrado.

  • O agente do Azure File Sync versão 19.1.0.0 ou posterior deve ser instalado no servidor registrado.

  • Nas suas contas de armazenamento utilizadas pela Sincronização de Ficheiros do Azure:

    • Você deve ser membro da função de gerenciamento Proprietário ou ter permissões "Microsoft.Authorization/roleassignments/write".
    • Permitir que os serviços do Azure na lista de serviços confiáveis acessem essa exceção de conta de armazenamento deve ser habilitado para visualização. Mais informações
    • Permitir acesso à chave da conta de armazenamento deve estar habilitado para visualização. Para verificar essa configuração, navegue até sua conta de armazenamento e selecione Configuração na seção Configurações .

  • Az.StorageSync PowerShell módulo versão 2.2.0 ou posterior deve ser instalado na máquina que será usada para configurar o Azure File Sync para usar identidades gerenciadas. Para instalar o módulo Az.StorageSync PowerShell mais recente, execute o seguinte comando em uma janela elevada do PowerShell:

    Install-Module Az.StorageSync -Force

Disponibilidade regional

O suporte da Sincronização de Ficheiros do Azure para identidades geridas atribuídas pelo sistema (pré-visualização) está disponível em todas as regiões Públicas e Gov do Azure que suportam a Sincronização de Ficheiros do Azure.

Habilite uma identidade gerenciada atribuída ao sistema em seus servidores registrados

Antes de configurar o Azure File Sync para usar identidades gerenciadas, seus servidores registrados devem ter uma identidade gerenciada atribuída ao sistema que será usada para autenticar o serviço de Sincronização de Arquivos do Azure e os compartilhamentos de arquivos do Azure.

Para habilitar uma identidade gerenciada atribuída ao sistema em um servidor registrado que tenha o agente do Azure File Sync v19 instalado, execute as seguintes etapas:

  • Se o servidor estiver hospedado fora do Azure, ele deverá ser um servidor habilitado para Azure Arc para ter uma identidade gerenciada atribuída ao sistema. Para obter mais informações sobre servidores habilitados para Azure Arc e como instalar o agente Azure Connected Machine, consulte: Visão geral dos servidores habilitados para Azure Arc.
  • Se o servidor for uma máquina virtual do Azure, habilite a configuração de identidade gerenciada atribuída ao sistema na VM. Para obter mais informações, consulte: Configurar identidades gerenciadas em máquinas virtuais do Azure.

Nota

  • Pelo menos um servidor registrado deve ter uma identidade gerenciada atribuída ao sistema antes que você possa configurar o Serviço de Sincronização de Armazenamento para usar uma identidade atribuída pelo sistema.
  • Depois que o Serviço de Sincronização de Armazenamento estiver configurado para usar identidades gerenciadas, os servidores registrados que não tiverem uma identidade gerenciada atribuída pelo sistema continuarão a usar uma chave compartilhada para autenticar seus compartilhamentos de arquivos do Azure.

Como verificar se os seus servidores registados têm uma identidade gerida atribuída pelo sistema

Para verificar se seus servidores registrados têm uma identidade gerenciada atribuída ao sistema, execute o seguinte comando do PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se a propriedade LatestApplicationId tem um GUID que indica que o servidor tem uma identidade gerenciada atribuída ao sistema, mas não está configurado atualmente para usar a identidade gerenciada.

Se o valor da propriedade ActiveAuthType for Certificate e LatestApplicationId não tiver um GUID, o servidor não terá uma identidade gerenciada atribuída pelo sistema e usará chaves compartilhadas para autenticar no compartilhamento de arquivos do Azure.

Nota

Depois que um servidor estiver configurado para usar a identidade gerenciada atribuída ao sistema, seguindo as etapas na seção a seguir, a propriedade LatestApplicationId não será mais usada (estará vazia), o valor da propriedade ActiveAuthType será alterado para ManagedIdentity e a propriedade ApplicationId terá um GUID que é a identidade gerenciada atribuída ao sistema.

Configurar sua implantação do Azure File Sync para usar identidades gerenciadas atribuídas ao sistema

Para configurar o Serviço de Sincronização de Armazenamento e os servidores registrados para usar identidades gerenciadas atribuídas pelo sistema, execute o seguinte comando em uma janela elevada do PowerShell:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

O cmdlet Set-AzStorageSyncServiceIdentity executa as seguintes etapas para você e levará vários minutos (ou mais para topologias grandes) para ser concluído:

  • Valida que pelo menos um servidor registrado tem uma identidade gerenciada atribuída ao sistema.
    • O cmdlet será interrompido nesta etapa se não houver servidores registrados com uma identidade gerenciada atribuída ao sistema.
  • Habilita uma identidade gerenciada atribuída pelo sistema para o recurso do Serviço de Sincronização de Armazenamento.
  • Concede ao Storage Sync Service acesso de identidade gerenciada atribuída pelo sistema às suas Contas de Armazenamento (função de Colaborador da Conta de Armazenamento).
  • Concede ao Serviço de Sincronização de Armazenamento acesso de identidade gerenciada atribuída pelo sistema aos seus compartilhamentos de arquivos do Azure (função de Colaborador Privilegiado de Dados do Arquivo de Armazenamento).
  • Concede ao(s) servidor(es) registrado(s) atribuído pelo sistema acesso de identidade gerenciada aos compartilhamentos de arquivos do Azure (função de Colaborador Privilegiado de Dados de Arquivo de Armazenamento).
  • Configura o Serviço de Sincronização de Armazenamento para usar a identidade gerenciada atribuída ao sistema.
  • Configura o(s) servidor(es) registrado(s) para usar a identidade gerenciada atribuída ao sistema.

Use o cmdlet Set-AzStorageSyncServiceIdentity sempre que precisar configurar servidores registrados adicionais para usar identidades gerenciadas.

Nota

Depois que o(s) servidor(es) registrado(s) estiver configurado(s) para usar uma identidade gerenciada atribuída ao sistema, pode levar até uma hora até que o servidor use a identidade gerenciada atribuída pelo sistema para se autenticar no Serviço de Sincronização de Armazenamento e nos compartilhamentos de arquivos.

Como verificar se o Serviço de Sincronização de Armazenamento está usando uma identidade gerenciada atribuída ao sistema

Para verificar se o Serviço de Sincronização de Armazenamento está usando uma identidade gerenciada atribuída ao sistema, execute o seguinte comando em uma janela elevada do PowerShell:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se o valor da propriedade UseIdentity é True. Se o valor for False, o Serviço de Sincronização de Armazenamento está usando chaves compartilhadas para autenticar nos compartilhamentos de arquivos do Azure.

Como verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída ao sistema

Para verificar se um servidor registrado está configurado para usar uma identidade gerenciada atribuída ao sistema, execute o seguinte comando em uma janela elevada do PowerShell:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

Verifique se a propriedade ApplicationId tem um GUID que indica que o servidor está configurado para usar a identidade gerenciada. O valor da propriedade ActiveAuthType será atualizado para ManagedIdentity assim que o servidor estiver usando a identidade gerenciada atribuída ao sistema.

Nota

Depois que o(s) servidor(es) registrado(s) for(em) configurado(s) para usar uma identidade gerenciada atribuída ao sistema, pode levar até uma hora até que o servidor use a identidade gerenciada atribuída pelo sistema para se autenticar no Serviço de Sincronização de Armazenamento e nos compartilhamentos de arquivos do Azure.

Mais informações

Depois que o Serviço de Sincronização de Armazenamento e o(s) servidor(es) registrado(s) estiverem configurados para usar uma identidade gerenciada atribuída ao sistema:

  • Os novos pontos de extremidade (nuvem ou servidor) criados usarão uma identidade gerenciada atribuída ao sistema para autenticar no compartilhamento de arquivos do Azure.
  • Use o cmdlet Set-AzStorageSyncServiceIdentity sempre que precisar configurar servidores registrados adicionais para usar identidades gerenciadas.

Se você tiver problemas, consulte: Solucionar problemas de identidade gerenciada do Azure File Sync.