Uso de identidades administradas para Azure App Configuration
En este artículo se muestra cómo crear una identidad administrada para Azure App Configuration. Una identidad administrada de Microsoft Entra ID permite a Azure App Configuration acceder fácilmente a otros recursos protegidos por Microsoft Entra. La plataforma de Azure administra la identidad. No es necesario que aprovisione ni rote ningún secreto. Para más información sobre las identidades administradas en Microsoft Entra ID, consulte Identidades administradas para recursos de Azure.
La aplicación puede tener dos tipos de identidades:
- Una identidad asignada por el sistema está asociada al almacén de configuración. Se elimina si se elimina el almacén de configuración. Un almacén de configuración solo puede tener una identidad asignada por el sistema.
- Una identidad asignada por el usuario es un recurso de Azure independiente que se puede asignar al almacén de configuración. Un almacén de configuración puede tener varias identidades asignadas por el usuario.
Adición de una identidad asignada por el sistema
Para crear un almacén de App Configuration con una identidad asignada por el sistema se requiere establecer una propiedad adicional en el almacén.
Uso de la CLI de Azure
Para configurar una identidad administrada mediante la CLI de Azure, use el comando [az appconfig identity assign] en un almacén de configuración existente. Tiene tres opciones para ejecutar los ejemplos de esta sección:
- Usar Azure Cloud Shell desde Azure Portal.
- Use Azure Cloud Shell integrado mediante el botón "Pruébelo", situado en la esquina superior derecha de cada bloque de código.
- Instale la versión más reciente de la CLI de Azure (2.1 o posterior) si prefiere usar una consola de la CLI local.
Los siguientes pasos le guían en la creación de un almacén de App Configuration y la asignación al mismo de una identidad mediante la CLI:
Si usa la CLI de Azure en una consola local, lo primero que debe hacer es iniciar sesión en Azure mediante [az login]. Utilice una cuenta asociada a su suscripción de Azure:
az login
Cree un almacén de App Configuration mediante la CLI. Para más ejemplos sobre cómo usar la CLI con Azure App Configuration, consulte Ejemplos de la CLI de App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Ejecute el comando [az appconfig identity assign] para crear la identidad asignada por el sistema para este almacén de configuración:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Adición de una identidad asignada por el usuario
La creación de un almacén de App Configuration con una identidad asignada por el usuario requiere que se cree la identidad y luego se asigne su identificador de recurso al almacén.
Nota:
Puede agregar hasta 10 identidades administradas asignadas por el usuario a un almacén de App Configuration.
Uso de la CLI de Azure
Para configurar una identidad administrada mediante la CLI de Azure, use el comando [az appconfig identity assign] en un almacén de configuración existente. Tiene tres opciones para ejecutar los ejemplos de esta sección:
- Usar Azure Cloud Shell desde Azure Portal.
- Use Azure Cloud Shell integrado mediante el botón "Pruébelo", situado en la esquina superior derecha de cada bloque de código.
- Instale la versión más reciente de la CLI de Azure (2.0.31 o posterior) si prefiere usar una consola de CLI local.
Los pasos siguientes le guían en la creación de una identidad asignada por el usuario y un almacén de App Configuration y la asignación de la identidad al almacén mediante la CLI:
Si usa la CLI de Azure en una consola local, lo primero que debe hacer es iniciar sesión en Azure mediante [az login]. Utilice una cuenta asociada a su suscripción de Azure:
az login
Cree un almacén de App Configuration mediante la CLI. Para más ejemplos sobre cómo usar la CLI con Azure App Configuration, consulte Ejemplos de la CLI de App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Cree una identidad asignada por el usuario llamada
myUserAssignedIdentity
mediante la CLI.az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
Anote el valor de la propiedad
id
de la salida de este comando.Ejecute el comando [az appconfig identity assign] para asignar la nueva identidad asignada por el usuario a este almacén de configuración. Use el valor de la propiedad
id
que anotó en el paso anterior.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Eliminación una identidad
Una identidad asignada por el sistema se puede eliminar; para ello, deshabilite la característica mediante el comando az appconfig identity remove de la CLI de Azure. Las identidades asignadas por el usuario se pueden quitar individualmente. Al quitar una identidad asignada por el sistema de esta manera, también se eliminará de Microsoft Entra ID. Las identidades asignadas por el sistema también se quitan automáticamente de Microsoft Entra ID cuando se elimina el recurso de la aplicación.