Použití spravované identity v Azure Kubernetes Fleet Manageru

Azure Kubernetes Fleet Manager používá identitu Microsoft Entra pro přístup k prostředkům Azure, jako jsou virtuální sítě Azure, nebo ke správě dlouhotrvajících aktivit na pozadí, jako je automatický upgrade s více clustery.

Spravovanou identitu můžete použít k autorizaci přístupu z Správce flotily ke všem službám, které podporují autorizaci Microsoft Entra, aniž byste museli spravovat přihlašovací údaje nebo je zahrnout do kódu. Roli řízení přístupu na základě role (Azure RBAC) Azure přiřadíte spravované identitě, abyste jí udělili oprávnění k určitému prostředku v Azure. Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

Tento článek ukazuje, jak povolit následující typy spravovaných identit v novém nebo existujícím Správci flotily Azure Kubernetes:

• Spravovaná identita přiřazená systémem Spravovaná identita přiřazená systémem je přidružená k jednomu prostředku Azure, jako je Správce flotily. Existuje pouze pro životní cyklus Správce flotily.
• Spravovaná identita přiřazená uživatelem Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure, který může Správce flotily použít k autorizaci přístupu k jiným službám Azure. Udržuje se odděleně od Správce flotily a může být používána několika prostředky Azure.

Další informace o spravovaných identitách najdete v tématu Spravované identity pro prostředky Azure.

Než začnete

Pokud máte v úmyslu používat Azure CLI, ujistěte se, že máte nainstalovanou verzi Azure CLI 2.75.0 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete instalovat nebo upgradovat, podívejte se na Install Azure CLI.

Před spuštěním příkladů Azure CLI v tomto článku nastavte své předplatné jako aktuální aktivní předplatné zavoláním příkazu az account set a předáním ID předplatného.

az account set --subscription <subscription-id>

Pokud ještě skupinu prostředků Azure nemáte, vytvořte ji voláním az group create příkazu.

az group create \
    --name myResourceGroup \
    --location westus2

Povolení spravované identity přiřazené systémem

Spravovaná identita přiřazená systémem je identita přidružená ke Správci flotily nebo jinému prostředku Azure. Spravovaná identita přiřazená systémem je svázaná s životním cyklem Správce flotily. Po odstranění Správce flotily se odstraní také spravovaná identita přiřazená systémem.

Správce flotily může pomocí spravované identity přiřazené systémem autorizovat přístup k dalším prostředkům běžícím v Azure a spouštět dlouhotrvající procesy na pozadí. Roli Azure RBAC můžete přiřadit spravované identitě přiřazené systémem, abyste udělili oprávnění Správce flotily pro přístup ke konkrétním prostředkům. Pokud například správce flotily potřebuje spravovat síťové prostředky, můžete přiřadit spravovanou identitu přiřazenou systémem k roli Azure RBAC, která tato oprávnění uděluje.

Povolení spravované identity přiřazené systémem v novém Správci flotily

Azure Portal

Když na webu Azure Portal vytvoříte nový Správce flotily, automaticky se vytvoří spravovaná identita přiřazená systémem.

Spravovanou identitu přiřazenou systémem můžete ověřit tak, že zkontrolujete okno Identita v části Nastavení Správce flotily. Stav je zapnutý a ID objektu (objektu zabezpečení) je vyplněné (není zobrazeno na obrázku).

Azure CLI

Pomocí příkazu vytvořte Správce flotily az fleet create a předáte --enable-managed-identity parametr, který povolí spravovanou identitu přiřazenou systémem.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

Výstup příkazu označuje typ identity SystemAssigned a zahrnuje ID objektu zabezpečení a tenanta.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Aktualizace existujícího Správce flotily tak, aby používala spravovanou identitu přiřazenou systémem

Azure Portal

Spravovanou identitu Správce flotily můžete spravovat pomocí okna Identita v části Nastavení Správce flotily.

1. Povolte spravovanou identitu přiřazenou systémem nastavením stavu Přiřazený systém na Zapnuto a výběrem možnosti Uložit.

   

2. V potvrzovacím dialogovém okně vyberte Ano .

3. Po chvíli se stav změní na Zapnuto a ID objektu (objektu zabezpečení) se naplní (nezobrazuje se na obrázku).

   

Azure CLI

Pokud chcete aktualizovat existujícího Správce flotily tak, aby používal spravovanou identitu přiřazenou systémem, spusťte příkaz az fleet update s parametrem nastaveným --enable-managed-identity na true.

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

Výstup příkazu označuje typ identity SystemAssigned a zahrnuje ID objektu zabezpečení a tenanta.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Přidání přiřazení role pro spravovanou identitu přiřazenou systémem

Roli Azure RBAC můžete přiřadit spravované identitě přiřazené systémem, abyste udělili oprávnění Správce flotily k jinému prostředku Azure. Azure RBAC podporuje integrované i vlastní definice rolí, které určují úrovně oprávnění. Další informace o přiřazování rolí Azure RBAC najdete v tématu Postup přiřazení role Azure.

Když přiřadíte roli Azure RBAC spravované identitě, musíte definovat obor role. Obecně se doporučuje omezit rozsah role na minimální oprávnění požadovaná spravovanou identitou. Další informace o určení rozsahu rolí Azure RBAC najdete v tématu Vysvětlení oboru pro Azure RBAC.

Poznámka:

Rozšíření oprávnění udělených spravované identitě správce flotily může trvat až 60 minut.

Azure Portal

1. V okně Identita Správce flotily vyberte kartu Přiřazení rolí Azure. Tím se otevře podokno Přiřazení rolí Azure .

   

2. Výběrem možnosti Přidat přiřazení role otevřete podokno Přidat přiřazení role a zadejte:

   • Rozsah – vyberte skupinu prostředků.

   • Předplatné – zvolte předplatné Azure obsahující skupinu prostředků, kterou chcete použít.

   • Skupina prostředků – vyberte skupinu prostředků.

   • Role – zvolte roli, kterou chcete přiřadit spravované identitě Správce flotily (například Přispěvatel sítě).

     

3. Výběrem možnosti Uložit přiřaďte roli spravované identitě přiřazené správcem flotily.

Azure CLI

1. Získání ID objektu zabezpečení spravované identity přiřazené systémem

   Pokud chcete přiřadit roli Azure RBAC spravované identitě přiřazené systémem správce flotily, potřebujete nejprve ID objektu zabezpečení pro spravovanou identitu. Získejte ID objektu zabezpečení spravované identity přiřazené správcem flotily voláním az fleet show příkazu.

   # Get the principal ID for a system-assigned managed identity.
   CLIENT_ID=$(az fleet show \
       --name myFleetName \
       --resource-group myResourceGroup \
       --query identity.principalId \
       --output tsv)
   

2. Přiřazení role Azure RBAC ke spravované identitě přiřazené systémem

   Pokud chcete spravované identitě přiřazené systémem udělit oprávnění k prostředku v Azure, zavolejte az role assignment create příkaz pro přiřazení role Azure RBAC spravované identitě.

   Pomocí příkazu například přiřaďte Network Contributor roli ve vlastní skupině az role assignment create prostředků. --scope Jako parametr zadejte ID prostředku pro skupinu prostředků pro Správce flotily.

   az role assignment create \
       --assignee $CLIENT_ID \
       --role "Network Contributor" \
       --scope "<fleet-manager-resource-group-id>"
   

Povolení spravované identity přiřazené uživatelem

Spravovaná identita přiřazená uživatelem je samostatný prostředek Azure. Když vytvoříte Správce flotily se spravovanou identitou přiřazenou uživatelem, musí prostředek spravované identity přiřazené uživatelem existovat před vytvořením Správce flotily.

Vytvořit uživatelsky přiřazenou spravovanou identitu

Pokud ještě nemáte prostředek spravované identity přiřazené uživatelem, vytvořte ho pomocí webu Azure Portal nebo Azure CLI.

Azure Portal

Postupujte podle kroků v dokumentaci k vytvoření spravované identity přiřazené uživatelem.

Azure CLI

1. Vytvořte spravovanou identitu přiřazenou uživatelem.

   Pokud ještě nemáte prostředek spravované identity přiřazené uživatelem, vytvořte ho az identity create pomocí příkazu.

   az identity create \
       --name myIdentity \
       --resource-group myResourceGroup
   

   Výstup by měl vypadat podobně jako v následujícím příkladu výstupu:

   {                                  
     "clientId": "<client-id>",
     "clientSecretUrl": "<clientSecretUrl>",
     "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
     "location": "westus2",
     "name": "myIdentity",
     "principalId": "<principal-id>",
     "resourceGroup": "myResourceGroup",                       
     "tags": {},
     "tenantId": "<tenant-id>",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Získání ID objektu zabezpečení spravované identity přiřazené uživatelem

   Pokud chcete získat ID objektu zabezpečení spravované identity přiřazené uživatelem, zavolejte příkaz az identity show a proveďte dotaz na principalId

   CLIENT_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query principalId \
       --output tsv)
   

3. Získání ID prostředku spravované identity přiřazené uživatelem

   Pokud chcete vytvořit Správce flotily se spravovanou identitou přiřazenou uživatelem, potřebujete ID prostředku pro novou spravovanou identitu. Pokud chcete získat ID prostředku spravované identity přiřazené uživatelem, zavolejte příkaz az identity show a dotaz na id vlastnost:

   RESOURCE_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query id \
       --output tsv)
   

Přiřazení role Azure RBAC ke spravované identitě přiřazené uživatelem

Před vytvořením Správce flotily přidejte přiřazení role pro spravovanou identitu.

Poznámka:

Rozšíření oprávnění udělených spravované identitě správce flotily může trvat až 60 minut.

Azure Portal

1. Přejděte k prostředku spravované identity.

2. V levém navigačním panelu prostředku spravované identity vyberte kartu Přiřazení rolí Azure . Tím se otevře podokno Přiřazení rolí Azure .

   

3. Výběrem možnosti Přidat přiřazení role otevřete podokno Přidat přiřazení role a zadejte:

   • Rozsah – vyberte skupinu prostředků.

   • Předplatné – zvolte předplatné Azure obsahující skupinu prostředků, kterou chcete použít.

   • Skupina prostředků – vyberte skupinu prostředků.

   • Role – zvolte roli, kterou chcete přiřadit spravované identitě (například Přispěvatel sítě).

     

4. Výběrem možnosti Uložit přiřaďte roli spravované identitě.

Azure CLI

az role assignment create Pomocí příkazu přiřaďte roli spravované identitě přiřazené uživatelem.

Následující příklad přiřadí roli Přispěvatel sítě k udělení oprávnění identity pro přístup k síťovým prostředkům. Přiřazení role je vymezeno na skupinu prostředků Fleet Manageru.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Vytvoření Správce flotily se spravovanou identitou přiřazenou uživatelem

Poznámka:

Oblasti Iowa USA – střed, USDOD – střed, USDOD – východ a USGov v cloudu Azure US Government nepodporují vytvoření Správce vozového parku s spravovanou identitou přiřazenou uživatelem.

Azure Portal

Správce flotily s spravovanou identitou přiřazenou uživatelem nemůžete vytvořit na webu Azure Portal. Typ identity Fleet Manageru můžete po vytvoření Správce flotily změnit na uživatelem přiřazený nebo použít Azure CLI.

Azure CLI

Pomocí příkazu s az fleet create parametrem vytvořte Správce flotily se spravovanou identitou přiřazenou uživatelem--assign-identity. Předejte ID prostředku pro spravovanou identitu přiřazenou uživatelem:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Aktualizace stávajícího Správce flotily tak, aby používal spravovanou identitu přiřazenou uživatelem

Azure Portal

Spravovanou identitu Správce flotily můžete spravovat pomocí okna Identita v části Nastavení Správce flotily.

1. Výběrem možnosti Přiřazený uživatel přepněte na kartu spravované identity přiřazené uživatelem.

   

2. Výběrem + Přidat otevřete podokno Přidat spravovanou identitu přiřazenou uživatelem .

   • Předplatné – zvolte předplatné Azure obsahující spravovanou identitu přiřazenou uživatelem, kterou chcete použít.
   • Spravované identity přiřazené uživatelem – vyhledejte spravovanou identitu přiřazenou uživatelem, kterou chcete použít.

   

3. Výběrem možnosti Přidat přidáte spravovanou identitu přiřazenou uživatelem do Správce flotily.

4. Po chvíli se změní seznam přiřazený uživatelem a zobrazí se spravovaná identita přiřazená uživatelem.

   

Azure CLI

Pokud chcete aktualizovat existujícího Správce flotily tak, aby používal spravovanou identitu přiřazenou uživatelem, zavolejte az fleet update příkaz. Zahrňte --assign-identity parametr a předejte ID prostředku pro spravovanou identitu přiřazenou uživatelem:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

Výstup úspěšné aktualizace Fleet Manageru pro použití spravované identity přiřazené uživatelem by měl vypadat podobně jako v následujícím příkladu výstupu:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Určení typu používané spravované identity

Azure Portal

Nastavení spravované identity Fleet Manageru můžete zkontrolovat pomocí okna Identita v části Nastavení Správce flotily.

Zkontrolujte oddíly přiřazené systémem i uživatelem a určete, jaký typ spravované identity je povolený.

Azure CLI

Pokud chcete zjistit, jaký typ spravované identity používá váš stávající Správce flotily, zavolejte příkaz az fleet show a zadejte dotaz na vlastnost typu identity.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv       

Odpověď je buď SystemAssigned , nebo UserAssigned.

Další kroky

• Šablony Azure Resource Manageru slouží k vytvoření spravovaného Správce flotily s podporou identit.