Sdílet prostřednictvím

Konfigurace spravované identity pro dev center

  • Článek

Tato příručka vysvětluje, jak přidat a nakonfigurovat spravovanou identitu pro vývojové centrum prostředí nasazení Azure, aby bylo možné zabezpečené nasazení pro vývojové týmy.

Prostředí nasazení Azure používají spravované identity k tomu, aby vývojové týmy poskytovaly samoobslužné možnosti nasazení, aniž by jim poskytla přístup k předplatným, ve kterých se vytvářejí prostředky Azure. Spravovaná identita přidává možnosti zvýšených oprávnění a zabezpečené ověřování do jakékoli služby, která podporuje ověřování Microsoft Entra.

Spravovaná identita připojená k vývojovému centru by měla mít přiřazenou roli Přispěvatel i roli User Access Správa istrator v předplatných nasazení pro každý typ prostředí. Když je požadováno nasazení prostředí, služba udělí příslušná oprávnění identitám nasazení, které jsou nastavené pro typ prostředí pro nasazení jménem uživatele. Spravovaná identita připojená k vývojovému centru slouží také k přidání do katalogu a přístupu k definicům prostředí v katalogu.

Přidání spravované identity

V prostředích nasazení Azure si můžete vybrat mezi dvěma typy spravovaných identit:

  • Identita přiřazená systémem: Identita přiřazená systémem je svázaná s vaším vývojovým centrem nebo s typem prostředí projektu. Identita přiřazená systémem se odstraní při odstranění připojeného prostředku. Vývojové centrum nebo typ prostředí projektu může mít pouze jednu identitu přiřazenou systémem.
  • Identita přiřazená uživatelem: Identita přiřazená uživatelem je samostatný prostředek Azure, který můžete přiřadit k vývojovému centru nebo k typu prostředí projektu. V prostředích nasazení Azure může vývojové centrum nebo typ prostředí projektu mít pouze jednu identitu přiřazenou uživatelem.

Osvědčeným postupem zabezpečení je, že pokud se rozhodnete používat identity přiřazené uživatelem, použijte pro svůj projekt a pro vývojové centrum různé identity. Identity projektů by měly mít v porovnání s vývojovým centrem omezenější přístup k prostředkům.

Poznámka:

Pokud v prostředích nasazení Azure přidáte identitu přiřazenou systémem i identitu přiřazenou uživatelem, použije se jenom identita přiřazená uživatelem.

Přidání spravované identity přiřazené systémem

  1. Přihlaste se k webu Azure Portal a přejděte do prostředí nasazení Azure.

  2. V vývojových centrech vyberte vývojové centrum.

  3. V nabídce vlevo pod Nastavení vyberte Identita.

  4. V části Přiřazený systém nastavte Stav na Zapnuto.

  5. Zvolte Uložit.

    Screenshot that shows the system-assigned managed identity.

  6. V dialogovém okně Povolit spravovanou identitu přiřazenou systémem vyberte Ano.

Přidání spravované identity přiřazené uživatelem

  1. Přihlaste se k webu Azure Portal a přejděte do prostředí nasazení Azure.

  2. V vývojových centrech vyberte vývojové centrum.

  3. V nabídce vlevo pod Nastavení vyberte Identita.

  4. V části Přiřazený uživatel vyberte Přidat a připojte existující identitu.

    Screenshot that shows the user-assigned managed identity.

  5. Při přidání spravované identity přiřazené uživatelem zadejte nebo vyberte následující informace:

    1. V předplatném vyberte předplatné, ve kterém identita existuje.
    2. U spravovaných identit přiřazených uživatelem vyberte existující identitu.
    3. Vyberte Přidat.

Přiřazení role předplatného

Identita připojená k vývojovému centru by měla být přiřazena rolím Přispěvatel a Uživatelský přístup Správa istrator pro všechna předplatná nasazení a roli Čtenář pro všechna předplatná, která obsahují příslušný projekt. Když uživatel vytvoří nebo nasadí prostředí, služba udělí odpovídající přístup k identitě nasazení, která je připojená k typu prostředí projektu. Identita nasazení používá přístup k provádění nasazení jménem uživatele. Spravovanou identitu můžete použít k tomu, aby vývojáři mohli vytvářet prostředí bez udělení přístupu k předplatnému.

Přidání přiřazení role ke spravované identitě přiřazené systémem

  1. Na webu Azure Portal přejděte do vývojového centra v prostředích nasazení Azure.

  2. V nabídce vlevo pod Nastavení vyberte Identita.

  3. V části Oprávnění přiřazená>systémem vyberte přiřazení rolí Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Pokud chcete přispěvateli udělit přístup k předplatnému, vyberte Přidat přiřazení role (Preview), zadejte nebo vyberte následující informace a pak vyberte Uložit:

    Jméno Hodnota
    Scope Předplatné
    Předplatné Vyberte předplatné, ve kterém se má spravovaná identita používat.
    Role Přispěvatel

  5. Pokud chcete udělit přístup uživatelům Správa istrator k předplatnému, vyberte Přidat přiřazení role (Preview), zadejte nebo vyberte následující informace a pak vyberte Uložit:

    Jméno Hodnota
    Scope Předplatné
    Předplatné Vyberte předplatné, ve kterém se má spravovaná identita používat.
    Role Správce uživatelských přístupů

Přidání přiřazení role ke spravované identitě přiřazené uživatelem

  1. Na webu Azure Portal přejděte do vývojového centra.

  2. V nabídce vlevo pod Nastavení vyberte Identita.

  3. V části Přiřazený uživatel vyberte identitu.

  4. V nabídce vlevo vyberte přiřazení rolí Azure.

  5. Pokud chcete přispěvateli udělit přístup k předplatnému, vyberte Přidat přiřazení role (Preview), zadejte nebo vyberte následující informace a pak vyberte Uložit:

    Jméno Hodnota
    Scope Předplatné
    Předplatné Vyberte předplatné, ve kterém se má spravovaná identita používat.
    Role Přispěvatel

  6. Pokud chcete udělit přístup uživatelům Správa istrator k předplatnému, vyberte Přidat přiřazení role (Preview), zadejte nebo vyberte následující informace a pak vyberte Uložit:

    Jméno Hodnota
    Scope Předplatné
    Předplatné Vyberte předplatné, ve kterém se má spravovaná identita používat.
    Role Správce uživatelských přístupů

Udělení přístupu spravované identity k tajnému klíči trezoru klíčů

Trezor klíčů můžete nastavit tak, aby používal zásady přístupu trezoru klíčů nebo řízení přístupu na základě role v Azure.

Poznámka:

Než budete moct přidat úložiště jako katalog, musíte spravované identitě udělit přístup k tajnému klíči trezoru klíčů, který obsahuje osobní přístupový token úložiště.

Zásady přístupu trezoru klíčů

Pokud je trezor klíčů nakonfigurovaný tak, aby používal zásady přístupu trezoru klíčů:

  1. Na webu Azure Portal přejděte do trezoru klíčů, který obsahuje tajný kód s osobním přístupovým tokenem.

  2. V nabídce vlevo vyberte Zásady přístupu a pak vyberte Vytvořit.

  3. Při vytváření zásad přístupu zadejte nebo vyberte následující informace:

    1. Na kartě Oprávnění v části Oprávnění zaškrtněte políčko Získat a pak vyberte Další.
    2. Na kartě Objekt zabezpečení vyberte identitu, která je připojená k vývojovému centru.
    3. Vyberte položku Zkontrolovat + vytvořit a potom vyberte Vytvořit.

Řízení přístupu na základě rolí Azure

Pokud je trezor klíčů nakonfigurovaný tak, aby používal řízení přístupu na základě role v Azure:

  1. Na webu Azure Portal přejděte do trezoru klíčů, který obsahuje tajný kód s osobním přístupovým tokenem.

  2. V nabídce vlevo vyberte Řízení přístupu (IAM).

  3. Vyberte identitu a v nabídce vlevo vyberte přiřazení rolí Azure.

  4. Vyberte Přidat přiřazení role a zadejte nebo vyberte následující informace:

    1. V části Obor vyberte trezor klíčů.
    2. V části Předplatné vyberte předplatné, které obsahuje trezor klíčů.
    3. Jako prostředek vyberte trezor klíčů.
    4. Jako roli vyberte uživatele tajných kódů služby Key Vault.
    5. Zvolte Uložit.

Související obsah