Aracılığıyla paylaş

yönetilen kimlikleri Azure Dosya Eşitleme ile kullanma (önizleme)

  • Makale

Sistem tarafından atanan yönetilen kimlikler için Azure Dosya Eşitleme desteği artık önizleme aşamasındadır.

Yönetilen Kimlik desteği, Microsoft Entra Id tarafından sağlanan sistem tarafından atanan yönetilen kimliği kullanarak kimlik doğrulama yöntemi olarak paylaşılan anahtarlar gereksinimini ortadan kaldırır.

Bu yapılandırmayı etkinleştirdiğinizde, sistem tarafından atanan yönetilen kimlikler aşağıdaki senaryolar için kullanılır:

  • Azure dosya paylaşımına Depolama Eşitleme Hizmeti kimlik doğrulaması
  • Azure dosya paylaşımına kayıtlı sunucu kimlik doğrulaması
  • Depolama Eşitleme Hizmeti'ne kayıtlı sunucu kimlik doğrulaması

Yönetilen kimlikleri kullanmanın avantajları hakkında daha fazla bilgi edinmek için bkz . Azure kaynakları için yönetilen kimlikler.

Azure Dosya Eşitleme dağıtımınızı sistem tarafından atanan yönetilen kimlikleri kullanacak şekilde yapılandırmak için lütfen sonraki bölümlerde verilen yönergeleri izleyin.

Önkoşullar

  • En az bir kayıtlı sunucuyla dağıtılan bir Depolama Eşitleme Hizmeti'ne sahip olmanız gerekir.

  • Azure Dosya Eşitleme aracı sürüm 19.1.0.0 veya üzeri kayıtlı sunucuya yüklenmelidir.

  • Azure Dosya Eşitleme tarafından kullanılan depolama hesaplarınızda:

    • Sahip yönetim rolünün üyesi olmanız veya "Microsoft.Authorization/roleassignments/write" izinlerine sahip olmanız gerekir.
    • Güvenilen hizmetler listesindeki Azure hizmetlerinin bu depolama hesabına erişmesine izin ver özel durumunun önizleme için etkinleştirilmesi gerekir. Daha fazla bilgi edinin
    • Depolama hesabı anahtarı erişimine izin ver seçeneği önizleme için etkinleştirilmelidir. Bu ayarı denetlemek için depolama hesabınıza gidin ve Ayarlar bölümünde Yapılandırma'yı seçin.

  • Az.StorageSync PowerShell modülü sürüm 2.2.0 veya üzeri, yönetilen kimlikleri kullanmak üzere Azure Dosya Eşitleme yapılandırmak için kullanılacak makineye yüklenmelidir. En son Az.StorageSync PowerShell modülünü yüklemek için yükseltilmiş bir PowerShell penceresinden aşağıdaki komutu çalıştırın:

    Install-Module Az.StorageSync -Force

Bölgesel kullanılabilirlik

Sistem tarafından atanan yönetilen kimlikler (önizleme) için Azure Dosya Eşitleme desteği, Azure Dosya Eşitleme destekleyen tüm Azure Genel ve Gov bölgelerinde kullanılabilir.

Kayıtlı sunucularınızda sistem tarafından atanan yönetilen kimliği etkinleştirme

Azure Dosya Eşitleme yönetilen kimlikleri kullanacak şekilde yapılandırabilmeniz için önce, kayıtlı sunucularınızın Azure Dosya Eşitleme hizmetinde ve Azure dosya paylaşımlarında kimlik doğrulaması yapmak için kullanılacak sistem tarafından atanmış bir yönetilen kimliği olmalıdır.

Azure Dosya Eşitleme v19 aracısının yüklü olduğu kayıtlı bir sunucuda sistem tarafından atanan yönetilen kimliği etkinleştirmek için aşağıdaki adımları uygulayın:

  • Sunucu Azure dışında barındırılıyorsa, sistem tarafından atanan yönetilen kimliğe sahip olması için Azure Arc özellikli bir sunucu olması gerekir. Azure Arc özellikli sunucular ve Azure Connected Machine aracısını yükleme hakkında daha fazla bilgi için bkz. Azure Arc özellikli sunuculara Genel Bakış.
  • Sunucu bir Azure sanal makinesiyse, VM'de sistem tarafından atanan yönetilen kimlik ayarını etkinleştirin. Daha fazla bilgi için bkz. Azure sanal makinelerinde yönetilen kimlikleri yapılandırma.

Not

  • Depolama Eşitleme Hizmeti'ni sistem tarafından atanan bir kimlik kullanacak şekilde yapılandırabilmeniz için en az bir kayıtlı sunucunun sistem tarafından atanan yönetilen kimliği olmalıdır.
  • Depolama Eşitleme Hizmeti yönetilen kimlikleri kullanacak şekilde yapılandırıldıktan sonra, sistem tarafından atanan yönetilen kimliğe sahip olmayan kayıtlı sunucular, Azure dosya paylaşımlarınızda kimlik doğrulaması yapmak için paylaşılan anahtar kullanmaya devam eder.

Kayıtlı sunucularınızın sistem tarafından atanan yönetilen kimliğe sahip olup olmadığını denetleme

Kayıtlı sunucularınızın sistem tarafından atanan bir yönetilen kimliğe sahip olup olmadığını denetlemek için aşağıdaki PowerShell komutunu çalıştırın:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

LatestApplicationId özelliğinin, sunucuya sistem tarafından atanmış bir yönetilen kimliğe sahip olduğunu ancak şu anda yönetilen kimliği kullanacak şekilde yapılandırılmadığını gösteren bir GUID'ye sahip olduğunu doğrulayın.

ActiveAuthType özelliğinin değeri Sertifika ise ve LatestApplicationId'nin GUID'i yoksa, sunucunun sistem tarafından atanan yönetilen kimliği yoktur ve Azure dosya paylaşımında kimlik doğrulaması yapmak için paylaşılan anahtarları kullanır.

Not

Bir sunucu, aşağıdaki bölümdeki adımları izleyerek sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırıldıktan sonra, LatestApplicationId özelliği artık kullanılmaz (boş olur), ActiveAuthType özellik değeri ManagedIdentity olarak değiştirilir ve ApplicationId özelliği sistem tarafından atanan yönetilen kimlik olan bir GUID'ye sahip olur.

Azure Dosya Eşitleme dağıtımınızı sistem tarafından atanan yönetilen kimlikleri kullanacak şekilde yapılandırma

Depolama Eşitleme Hizmeti'ni ve kayıtlı sunucuları sistem tarafından atanan yönetilen kimlikleri kullanacak şekilde yapılandırmak için yükseltilmiş bir PowerShell penceresinden aşağıdaki komutu çalıştırın:

Set-AzStorageSyncServiceIdentity -ResourceGroupName <string> -StorageSyncServiceName <string> -Verbose

Set-AzStorageSyncServiceIdentity cmdlet'i sizin için aşağıdaki adımları gerçekleştirir ve tamamlanması birkaç dakika (veya büyük topolojiler için daha uzun sürer):

  • En az bir kayıtlı sunucunun sistem tarafından atanmış yönetilen kimliğe sahip olduğunu doğrular.
    • Sistem tarafından atanan yönetilen kimliğe sahip kayıtlı sunucu yoksa cmdlet bu adımda durur.
  • Depolama Eşitleme Hizmeti kaynağı için sistem tarafından atanan yönetilen kimliği etkinleştirir.
  • Depolama Hesaplarınıza (Depolama Hesabı Katkıda Bulunanı rolü) Depolama Eşitleme Hizmeti sistem tarafından atanan yönetilen kimlik erişimi verir.
  • Azure dosya paylaşımlarınıza Depolama Eşitleme Hizmeti sistem tarafından atanan yönetilen kimlik erişimi verir (Depolama Dosya Verileri Ayrıcalıklı Katkıda Bulunan rolü).
  • Kayıtlı sunuculara Azure dosya paylaşımlarına sistem tarafından atanan yönetilen kimlik erişimi verir (Depolama Dosyası Verileri Ayrıcalıklı Katkıda Bulunan rolü).
  • Depolama Eşitleme Hizmeti'ni sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırılır.
  • Kayıtlı sunucuları sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırılır.

Yönetilen kimlikleri kullanmak için ek kayıtlı sunucuları yapılandırmanız gerektiğinde Set-AzStorageSyncServiceIdentity cmdlet'ini kullanın.

Not

Kayıtlı sunucular sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırıldıktan sonra, sunucunun Depolama Eşitleme Hizmeti ve dosya paylaşımları için kimlik doğrulaması yapmak için sistem tarafından atanan yönetilen kimliği kullanması bir saat kadar sürebilir.

Depolama Eşitleme Hizmeti'nin sistem tarafından atanan yönetilen kimlik kullanıp kullanmadığı nasıl denetlenilir?

Depolama Eşitleme Hizmeti'nin sistem tarafından atanan bir yönetilen kimlik kullanıp kullanmadığı denetlemek için yükseltilmiş bir PowerShell penceresinden aşağıdaki komutu çalıştırın:

Get-AzStorageSyncService -ResourceGroupName <string> -StorageSyncServiceName <string>

UseIdentity özelliğinin değerinin True olduğunu doğrulayın. Değer False ise Depolama Eşitleme Hizmeti, Azure dosya paylaşımları için kimlik doğrulaması yapmak için paylaşılan anahtarları kullanır.

Kayıtlı sunucunun sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırılıp yapılandırılmadığı nasıl denetlenilir?

Kayıtlı sunucunun sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırılıp yapılandırılmadığı denetlemek için yükseltilmiş bir PowerShell penceresinden aşağıdaki komutu çalıştırın:

Get-AzStorageSyncServer -ResourceGroupName <string> -StorageSyncServiceName <string>

ApplicationId özelliğinin, sunucunun yönetilen kimliği kullanacak şekilde yapılandırıldığını gösteren bir GUID'ye sahip olduğunu doğrulayın. Sunucu sistem tarafından atanan yönetilen kimliği kullandığında ActiveAuthType özelliğinin değeri ManagedIdentity olarak güncelleştirilir.

Not

Kayıtlı sunucular sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırıldıktan sonra, sunucunun Depolama Eşitleme Hizmeti ve Azure dosya paylaşımları için kimlik doğrulaması için sistem tarafından atanan yönetilen kimliği kullanması bir saat kadar sürebilir.

Daha Fazla Bilgi

Depolama Eşitleme Hizmeti ve kayıtlı sunucular sistem tarafından atanan yönetilen kimliği kullanacak şekilde yapılandırıldıktan sonra:

  • Oluşturulan yeni uç noktalar (bulut veya sunucu), Azure dosya paylaşımında kimlik doğrulaması yapmak için sistem tarafından atanan yönetilen kimlik kullanır.
  • Yönetilen kimlikleri kullanmak için ek kayıtlı sunucuları yapılandırmanız gerektiğinde Set-AzStorageSyncServiceIdentity cmdlet'ini kullanın.

Sorunlarla karşılaşıyorsanız bkz. yönetilen kimlik sorunlarını Azure Dosya Eşitleme giderme.