Spravované identity v Azure Container Aplikacích

Spravovaná identita z Microsoft Entra ID umožňuje vaší aplikaci kontejneru přistupovat k dalším prostředkům chráněným Microsoft Entra. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.

Aplikaci kontejneru můžete udělit dva typy identit:

• Identita přiřazená systémem je svázaná s vaší aplikací kontejneru a při odstranění aplikace kontejneru se odstraní. Aplikace může mít pouze jednu identitu přiřazenou systémem.
• Identita přiřazená uživatelem je samostatný prostředek Azure, který můžete přiřadit ke své aplikaci kontejneru a dalším prostředkům. Aplikace typu kontejner může mít více identit přiřazených uživatelem. Identity přiřazené uživatelem existují, dokud je neodstraníte.

Proč používat spravovanou identitu?

Spravovanou identitu ve spuštěné aplikaci kontejneru můžete použít k ověření ve všech službách, které podporují ověřování Microsoft Entra.

Se spravovanými identitami:

• Vaše aplikace se připojuje k prostředkům pomocí spravované identity. V aplikaci kontejneru nemusíte spravovat přihlašovací údaje.
• Řízení přístupu na základě role můžete použít k udělení konkrétních oprávnění spravované identitě.
• Identity přiřazené systémem se automaticky vytvářejí a spravují. Jsou odstraněny, když je aplikace kontejneru odstraněna.
• Můžete přidávat a odstraňovat identity přiřazené uživatelem a přiřazovat je k více prostředkům. Jsou nezávislé na životním cyklu vaší aplikace kontejneru.
• Spravovanou identitu můžete použít k ověření pomocí privátní služby Azure Container Registry bez uživatelského jména a hesla pro vyžádání kontejnerů pro vaši aplikaci kontejneru.
• Spravovanou identitu můžete použít k vytvoření připojení pro aplikace s podporou Dapr prostřednictvím komponent Dapr.

Běžné případy použití

Identity přiřazené systémem jsou nejvhodnější pro úlohy, které:

• jsou obsaženy v rámci jednoho zdroje.
• potřeba nezávislých identit

Identity přiřazené uživatelem jsou ideální pro úlohy, které:

• Lze spustit na více prostředcích a sdílet jednu identitu.
• potřeba předběžné autorizace k zabezpečenému prostředku

Omezení

Inicializační kontejnery nemají přístup ke spravovaným identitám v prostředích jen pro spotřebu a vyhrazených prostředích profilů úloh

Konfigurace spravovaných identit

Spravované identity můžete nakonfigurovat prostřednictvím:

• portál Azure
• Rozhraní příkazového řádku Azure
• šablona Azure Resource Manageru (ARM)

Když se spravovaná identita přidá, odstraní nebo upraví ve spuštěné aplikaci kontejneru, aplikace se automaticky nerestartuje a nevytvořila se nová revize.

Poznámka:

Při přidávání spravované identity do aplikace kontejneru nasazené před 11. dubna 2022 je nutné vytvořit novou revizi.

Přidat systémem přiřazenou identitu

Azure Portal

1. Přejděte do aplikace kontejneru na webu Azure Portal.

2. Ve skupině Nastavení vyberte Možnost Identita.

3. Na kartě Přiřazený systém přepněte stav na Zapnuto.

4. Zvolte Uložit.

Azure CLI

Spuštěním az containerapp identity assign příkazu vytvořte identitu přiřazenou systémem:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

Šablona ARM

Šablonu ARM můžete použít k automatizaci nasazení kontejnerové aplikace a prostředků. Pokud chcete přidat systémem přiřazenou identitu, přidejte oddíl identity do šablony ARM.

"identity": {
    "type": "SystemAssigned"
}

Přidání systémem přiřazeného typu umožňuje Azure vytvořit a spravovat identitu pro vaši aplikaci. Kompletní příklad šablony ARM najdete ve specifikaci rozhraní API ARM.

Některé příkazy Azure CLI, včetně az containerapp create a az containerapp job create, podporují soubory YAML pro vstup. Pokud chcete přidat identitu přiřazenou systémem, přidejte do souboru YAML oddíl identity.

identity:
  type: SystemAssigned

Přidání systémem přiřazeného typu umožňuje Azure vytvořit a spravovat identitu pro vaši aplikaci. Kompletní příklad šablony YAML najdete ve specifikaci rozhraní API ARM.

Biceps

Soubor Bicep se dá použít k automatizaci nasazení kontejnerové aplikace a prostředků. Pokud chcete přidat identitu přiřazenou systémem, přidejte do souboru Bicep oddíl identity.

identity: {
  type: 'SystemAssigned'
}

Přidání systémem přiřazeného typu umožňuje Azure vytvořit a spravovat identitu pro vaši aplikaci. Úplný příklad souboru Bicep najdete v tématu Microsoft.App containerApps Bicep, šablona ARM a referenční informace k AzAPI v Terraformu.

Přidání uživatelsky přiřazené identity

Konfigurace aplikace kontejneru s identitou přiřazenou uživatelem vyžaduje, abyste nejprve vytvořili identitu a pak do konfigurace vaší aplikace kontejneru přidali její identifikátor prostředku. Identity přiřazené uživatelem můžete vytvořit prostřednictvím webu Azure Portal nebo Azure CLI. Informace o vytváření a správě identit přiřazených uživatelem najdete v tématu Správa spravovaných identit přiřazených uživatelem.

Azure Portal

Nejprve budete muset vytvořit prostředek identity přiřazený uživatelem.

1. Prostředek spravované identity přiřazené uživatelem vytvořte podle postupů uvedených ve Správa uživatelsky přiřazených spravovaných identit.

2. Přejděte do aplikace kontejneru na webu Azure Portal.

3. Ve skupině Nastavení vyberte Možnost Identita.

4. V Uživatelem přiřazené vyberte Přidat.

5. Vyhledejte a vyberte identitu, kterou jste vytvořili dříve.

6. Vyberte Přidat.

Azure CLI

1. Vytvořte uživatelsky přiřazenou identitu.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   id Poznamenejte si vlastnost nové identity.

2. Spuštěním az containerapp identity assign příkazu přiřaďte identitu aplikaci. Parametr identit je seznam oddělený mezerou.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Nahraďte <IDENTITY_RESOURCE_ID> vlastností identity id. Pokud chcete přiřadit více než jednu identitu přiřazenou uživatelem, zadejte do parametru --user-assigned seznam ID identit oddělených mezerami.

Šablona ARM

Pokud chcete přidat jednu nebo více uživatelsky přiřazených identit, přidejte oddíl identity do šablony ARM. Nahraďte <IDENTITY1_RESOURCE_ID> a <IDENTITY2_RESOURCE_ID> identifikátory prostředků identit, které chcete přidat.

Zadejte každou identitu přiřazenou uživatelem tak, že do objektu userAssignedIdentities přidáte položku s identifikátorem prostředku identity jako klíčem. Jako hodnotu použijte prázdný objekt.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Kompletní příklad šablony ARM najdete ve specifikaci rozhraní API ARM.

Poznámka:

Aplikace může mít současně přiřazené systémové i uživatelem přiřazené identity. V tomto případě by hodnota vlastnosti type byla SystemAssigned,UserAssigned.

Pokud chcete přidat jednu nebo více identit přiřazených uživatelem, přidejte do konfiguračního identity souboru YAML oddíl. Nahraďte <IDENTITY1_RESOURCE_ID> a <IDENTITY2_RESOURCE_ID> identifikátory prostředků identit, které chcete přidat.

Zadejte každou identitu přiřazenou uživatelem tak, že do objektu userAssignedIdentities přidáte položku s identifikátorem prostředku identity jako klíčem. Jako hodnotu použijte prázdný objekt.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Kompletní příklad šablony YAML najdete ve specifikaci rozhraní API ARM.

Poznámka:

Aplikace může mít současně přiřazené systémové i uživatelem přiřazené identity. V tomto případě by vlastnost type byla SystemAssigned,UserAssigned.

Biceps

Pokud chcete přidat jednu nebo více identit přiřazených uživatelem, přidejte do souboru Bicep oddíl identity. Nahraďte <IDENTITY1_RESOURCE_ID> a <IDENTITY2_RESOURCE_ID> identifikátory prostředků identit, které chcete přidat.

Zadejte každou identitu přiřazenou uživatelem tak, že do objektu userAssignedIdentities přidáte položku s identifikátorem prostředku identity jako klíčem. Jako hodnotu použijte prázdný objekt.

identity: {
  type: 'UserAssigned'
  userAssignedIdentities: {
    <IDENTITY1_RESOURCE_ID>: {}
    <IDENTITY2_RESOURCE_ID>: {}
  }
}

Úplný příklad souboru Bicep najdete v tématu Microsoft.App containerApps Bicep, šablona ARM a referenční informace k AzAPI v Terraformu.

Poznámka:

Aplikace může mít současně přiřazené systémové i uživatelem přiřazené identity. V tomto případě by vlastnost type byla SystemAssigned,UserAssigned.

Konfigurace cílového prostředku

U některých prostředků je potřeba nakonfigurovat přiřazení rolí pro spravovanou identitu vaší aplikace pro udělení přístupu. V opačném případě se volání z vaší aplikace do služeb, jako je Azure Key Vault a Azure SQL Database, zamítnou, i když pro tuto identitu použijete platný token. Další informace o řízení přístupu na základě role v Azure (Azure RBAC) najdete v tématu Co je RBAC? Další informace o tom, které prostředky podporují tokeny Microsoft Entra, najdete v tématu Služby Azure, které podporují ověřování Microsoft Entra.

Důležité

Back-endové služby pro spravované identity uchovávají mezipaměť pro identifikátor URI prostředku přibližně po dobu 24 hodin. Pokud aktualizujete zásady přístupu konkrétního cílového prostředku a okamžitě načtete token pro tento prostředek, můžete token uložený v mezipaměti získat se zastaralými oprávněními, dokud nevyprší platnost tohoto tokenu. Vynucení aktualizace tokenu se nepodporuje.

Připojení ke službám Azure v kódu aplikace

Pomocí spravovaných identit může aplikace získat tokeny pro přístup k prostředkům Azure, které používají ID Microsoft Entra, jako je Azure SQL Database, Azure Key Vault a Azure Storage. Tyto tokeny představují aplikaci, která přistupuje k prostředku, a ne k žádnému konkrétnímu uživateli aplikace.

Container Apps poskytuje interně přístupný koncový bod REST pro načtení tokenů. Koncový bod REST je k dispozici v aplikaci se standardním požadavkem HTTP GET , který můžete odeslat pomocí obecného klienta HTTP ve vašem upřednostňovaném jazyce. Klientská knihovna Azure Identity poskytuje pro .NET, JavaScript, Java a Python abstrakci tohoto koncového bodu REST. K dalším službám Azure se můžete připojit přidáním objektu přihlašovacích údajů do klienta specifického pro službu.

Poznámka:

Pokud používáte klientskou knihovnu Azure Identity, musíte explicitně zadat ID klienta spravované identity přiřazené uživatelem.

.SÍŤ

Poznámka:

Při připojování ke zdrojům dat Azure SQL pomocí Entity Framework Core zvažte použití Microsoft.Data.SqlClient, které poskytuje speciální připojovací řetězec pro připojení spravovaných identit.

Pro aplikace .NET je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro .NET. Další informace najdete v následujících materiálech:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Tento objekt je ve většině scénářů efektivní, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

JavaScript

Pro Node.js aplikace je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro JavaScript. Další informace najdete v následujících materiálech:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Tento objekt je ve většině scénářů efektivní, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Další příklady kódu klientské knihovny Azure Identity pro JavaScript najdete v příkladech identit Azure.

Krajta

Pro aplikace v Pythonu je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro Python. Další informace najdete v následujících materiálech:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Tento objekt je ve většině scénářů efektivní, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Java

Pro aplikace a funkce v Javě je nejjednodušší způsob, jak pracovat se spravovanou identitou, prostřednictvím klientské knihovny Azure Identity pro Javu. Další informace najdete v následujících materiálech:

• Přidání klientské knihovny Azure Identity do projektu
• Přístup ke službě Azure pomocí identity přiřazené systémem
• Přístup ke službě Azure pomocí identity přiřazené uživatelem

Odkazované příklady používají DefaultAzureCredential. Tento objekt je ve většině scénářů efektivní, protože stejný model funguje v Azure (se spravovanými identitami) a na místním počítači (bez spravovaných identit).

Další příklady kódu klientské knihovny Azure Identity pro Javu najdete v tématu Příklady identit Azure.

Prostředí PowerShell

Pomocí následujícího skriptu získáte token z místního koncového bodu uvedením identifikátoru URI prostředku služby Azure. Nahraďte zástupný symbol identifikátorem URI prostředku a získejte token.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Nezpracovaný požadavek HTTP GET vypadá jako v následujícím příkladu.

Z proměnné prostředí IDENTITY_ENDPOINT získejte URL adresu koncového bodu tokenu. x-identity-header obsahuje identifikátor GUID, který je uložen v proměnné prostředí IDENTITY_HEADER.

GET http://${IDENTITY_ENDPOINT}?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Odpověď může vypadat jako v tomto příkladu:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Tato odpověď je stejná jako odpověď na žádost o přístupový token service-to-service služby Microsoft Entra. Abyste získali přístup ke službě Key Vault, přidejte hodnotu access_token při připojení klienta k trezoru.

Referenční informace ke koncovému bodu REST

Aplikace kontejneru se spravovanou identitou zveřejňuje koncový bod identity definováním dvou proměnných prostředí:

• IDENTITY_ENDPOINT: Místní adresa URL, ze které může vaše aplikace kontejneru požadovat tokeny.
• IDENTITY_HEADER: Hlavička, která pomáhá zmírnit útoky SSRF (server-side request forgery). Hodnota se otočí platformou.

Pokud chcete získat token pro prostředek, odešlete požadavek HTTP GET na koncový bod s následujícími parametry:

Název parametru	V	Popis
zdroj	Dotaz	Identifikátor URI prostředku Microsoft Entra, pro který má být token získán. Prostředek může být jednou ze služeb Azure, které podporují ověřování Microsoft Entra nebo jakýkoli jiný identifikátor URI prostředku.
verze API	Dotaz	Verze rozhraní API tokenu, která se má použít. Použijte "2019-08-01" nebo novější.
HLAVIČKA X-IDENTITY	Hlavička	Hodnota proměnné prostředí IDENTITY_HEADER. Tato hlavička pomáhá zmírnit útoky na serverovou falšovanou žádost (SSRF).
identifikátor klienta	Dotaz	(Volitelné) ID identity přiřazené uživatelem, které se má použít. Nelze použít u požadavku, který obsahuje principal_id, mi_res_idnebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida mi_res_id) , použije se identita přiřazená systémem.
identifikátor_principalu	Dotaz	(Volitelné) ID objektu zabezpečení identity přiřazené uživatelem, které se má použít. object_id je alias, který se místo toho může použít. Nejde použít u požadavku, který zahrnuje client_id, mi_res_id nebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida mi_res_id) , použije se identita přiřazená systémem.
mi_res_id	Dotaz	(Volitelné) ID prostředku Azure identity přiřazené uživatelem, které se má použít. Nelze použít u požadavku, který obsahuje principal_id, client_idnebo object_id. Pokud jsou vynechány všechny parametry ID (client_id, principal_id, object_ida mi_res_id) , použije se identita přiřazená systémem.

Důležité

Pokud se pokoušíte získat tokeny pro identity přiřazené uživatelem, musíte zahrnout jednu z volitelných vlastností. Jinak se služba tokenů pokusí získat token pro identitu přiřazenou systémem, která může nebo nemusí existovat.

Použití spravované identity pro pravidla škálování

Spravované identity ve vašich pravidlech škálování můžete použít k ověřování pomocí služeb Azure, které podporují spravované identity. Pokud chcete ve svém pravidle škálování použít spravovanou identitu, použijte namísto vlastnosti identity vlastnost auth. Přijatelné hodnoty pro identity vlastnost jsou ID prostředku Azure identity přiřazené uživatelem nebo system použití identity přiřazené systémem.

Následující příklad šablony ARM ukazuje, jak používat spravovanou identitu s pravidlem škálování azure Queue Storage:

Účet úložiště fronty používá vlastnost accountName k identifikaci účtu úložiště, zatímco vlastnost identity určuje, kterou spravovanou identitu má použít. Vlastnost nemusíte používat auth .

"scale": {
    "minReplicas": 1,
    "maxReplicas": 10,
    "rules": [{
        "name": "myQueueRule",
        "azureQueue": {
            "accountName": "mystorageaccount",
            "queueName": "myqueue",
            "queueLength": 2,
            "identity": "<IDENTITY1_RESOURCE_ID>"
        }
    }]
}

Další informace o používání spravované identity s pravidly škálování najdete v tématu Nastavení pravidel škálování v Azure Container Apps.

Řízení dostupnosti spravované identity

Container Apps umožňuje zadat inicializační kontejnery a hlavní kontejnery. Ve výchozím nastavení můžou hlavní i inicializační kontejnery v prostředí profilu úloh consumption používat spravovanou identitu pro přístup k jiným službám Azure. V prostředích jen pro spotřebu a vyhrazených prostředích profilů úloh můžou spravovanou identitu používat pouze hlavní kontejnery. Přístupové tokeny spravované identity jsou k dispozici pro každou spravovanou identitu nakonfigurovanou v aplikaci kontejneru. V některých situacích ale pouze inicializační kontejner nebo hlavní kontejner vyžadují přístupové tokeny pro spravovanou identitu. Jindy můžete ke stažení image kontejneru použít spravovanou identitu pouze pro přístup ke službě Azure Container Registry a samotná aplikace nemusí mít přístup ke službě Azure Container Registry.

Počínaje verzí 2024-02-02-previewrozhraní API můžete řídit, které spravované identity jsou pro vaši aplikaci kontejneru dostupné během inicializačních a hlavních fází, a řídit tak princip zabezpečení s nejnižšími oprávněními. Existují tyto možnosti:

• Init: K dispozici pouze pro inicializační kontejnery. Tuto možnost použijte, když chcete provést určitou inicializaci, která vyžaduje spravovanou identitu, ale spravovanou identitu už nepotřebujete v hlavním kontejneru. Tato možnost se v současné době podporuje jenom v prostředích s využitím profilů úloh.
• Main: K dispozici pouze pro hlavní kontejnery. Tuto možnost použijte, pokud váš inicializační kontejner nepotřebuje spravovanou identitu.
• All: K dispozici pro všechny kontejnery. Tato hodnota je výchozím nastavením.
• None: Není k dispozici pro žádné kontejnery. Tuto možnost použijte, pokud máte spravovanou identitu, která se používá jenom pro vyžádání image ACR, pravidla škálování nebo tajné kódy služby Key Vault a nemusí být k dispozici pro kód spuštěný ve vašich kontejnerech.

Následující příklad šablony ARM ukazuje, jak nakonfigurovat kontejnerovou aplikaci v prostředí profilu spotřeby úloh, které:

• Omezuje identitu přiřazenou systémem aplikace kontejneru pouze na hlavní kontejnery.
• Omezuje konkrétní identitu přiřazenou uživatelem pouze na inicializační kontejnery.
• Používá konkrétní identitu přiřazenou uživatelem pro vyžádání image služby Azure Container Registry, aniž by umožňovala kódu v kontejnerech používat tuto spravovanou identitu pro přístup k registru. V tomto příkladu samotné kontejnery nepotřebují přístup k registru.

Tento přístup omezuje prostředky, ke kterým je možné získat přístup, pokud by objekt actor se zlými úmysly získal neoprávněný přístup ke kontejnerům.

{
    "location": "eastus2",
    "identity":{
    "type": "SystemAssigned, UserAssigned",
        "userAssignedIdentities": {
            "<IDENTITY1_RESOURCE_ID>":{},
            "<ACR_IMAGEPULL_IDENTITY_RESOURCE_ID>":{}
         }
     },
    "properties": {
        "workloadProfileName":"Consumption",
        "environmentId": "<CONTAINER_APPS_ENVIRONMENT_ID>",
        "configuration": {
            "registries": [
            {
                "server": "myregistry.azurecr.io",
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID"
            }],
            "identitySettings":[
            {
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID",
                "lifecycle": "None"
            },
            {
                "identity": "<IDENTITY1_RESOURCE_ID>",
                "lifecycle": "Init"
            },
            {
                "identity": "system",
                "lifecycle": "Main"
            }]
        },
        "template": {
            "containers":[
                {
                    "image":"myregistry.azurecr.io/main:1.0",
                    "name":"app-main"
                }
            ],
            "initContainers":[
                {
                    "image":"myregistry.azurecr.io/init:1.0",
                    "name":"app-init",
                }
            ]
        }
    }
}

Zobrazení spravovaných identit

Spravované identity přiřazené systémem a uživatelem můžete zobrazit pomocí následujícího příkazu Azure CLI. Výstup zobrazuje typ spravované identity, ID tenanta a hlavní ID všech spravovaných identit přiřazených k vaší kontejnerové aplikaci.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Odebrání spravované identity

Když odeberete identitu přiřazenou systémem, odstraní se z ID Microsoft Entra. Systémem přiřazené identity se také automaticky odeberou z Microsoft Entra ID při odstranění samotného prostředku kontejnerové aplikace. Odebrání spravovaných identit přiřazených uživatelem z aplikace kontejneru je neodebere z ID Microsoft Entra.

Azure Portal

1. V levém navigačním panelu stránky aplikace se posuňte dolů ke skupině Nastavení .

2. Vyberte Identita. Pak postupujte podle kroků založených na typu identity:

   • Identita přiřazená systémem: Na kartě Přiřazený systém přepněte Stav na Vypnuto. Zvolte Uložit.
   • Uživatelem přiřazená identita: Vyberte kartu Uživatelem přiřazeno, zaškrtněte políčko pro identitu a vyberte Odebrat. Potvrďte výběrem možnosti Ano.

Azure CLI

Odebrání identity přiřazené systémem:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Odebrání jedné nebo více identit přiřazených uživatelem:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Odebrání všech identit přiřazených uživatelem:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned $(az containerapp show \
    --name <APP_NAME> \
    --resource-group <GROUP_NAME> \
    --query "identity.userAssignedIdentities | keys(@)" \
    --output tsv)

Nahraďte <PLACEHOLDERS> vlastními hodnotami.

Příkaz pro odebrání všech identit přiřazených uživatelem funguje následovně.

Příkaz nebo argument	Popis
--user-assigned $(...)	Spusťte příkaz uzavřený v závorkách. Odeslání výstupu do --user-assigned.
az containerapp show...	Získejte informace o zadané aplikaci kontejneru.
--query "identity.userAssignedIdentities...	Získejte identity přiřazené uživatelem pro zadanou aplikaci kontejneru.
\|	Operátor potrubí odešle uživatelsky přiřazené identity do příkazu keys.
keys(@)	Identity přiřazené uživatelem se vrátí jako sada párů klíč/hodnota. Každý klíč je ID identity přiřazené uživatelem. Tento příkaz extrahuje každý klíč.
--output tsv	Výstup výsledků ve formátu odděleném tabulátorem

Další informace naleznete v tématu Dotazování výstupu příkazu Azure CLI pomocí dotazu JMESPath.

Šablona ARM

Chcete-li odebrat všechny identity, nastavte v šabloně ARM identitu kontejnerové aplikace na type s použitím None.

"identity": {
    "type": "None"
}

Pokud chcete odebrat všechny identity, nastavte type v identitě aplikace kontejneru na None v konfiguračním souboru YAML.

identity:
    type: None

Biceps

Pokud chcete odebrat všechny identity, nastavte type identity aplikace kontejneru na None v souboru Bicep.

identity: {
  type: 'None'
}

Další kroky

Monitorování aplikace