Použití spravovaných identit pro zátěžové testování Azure

Tento článek ukazuje, jak vytvořit spravovanou identitu pro zátěžové testování Azure. Spravovanou identitu můžete použít k bezpečnému čtení tajných kódů nebo certifikátů ze služby Azure Key Vault ve vašem zátěžovém testu.

Spravovaná identita z Microsoft Entra ID umožňuje vašemu prostředku zátěžového testování snadný přístup ke službě Azure Key Vault chráněné službou Microsoft Entra. Identita je spravovaná platformou Azure a nevyžaduje správu ani obměně tajných kódů. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.

Azure Load Testing podporuje dva typy identit:

• Identita přiřazená systémem je přidružená k vašemu prostředku zátěžového testování a při odstranění prostředku se odstraní. Prostředek může mít pouze jednu identitu přiřazenou systémem.
• Identita přiřazená uživatelem je samostatný prostředek Azure, který můžete přiřadit k prostředku zátěžového testování. Když odstraníte prostředek zátěžového testování, spravovaná identita zůstane k dispozici. K prostředku zátěžového testování můžete přiřadit více identit přiřazených uživatelem.

V současné době můžete pro přístup ke službě Azure Key Vault použít jenom spravovanou identitu.

Požadavky

• Účet Azure s aktivním předplatným. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
• Prostředek zátěžového testování Azure. Pokud potřebujete vytvořit prostředek zátěžového testování Azure, pročtěte si rychlý start – Vytvoření a spuštění zátěžového testu.
• Pokud chcete vytvořit spravovanou identitu přiřazenou uživatelem, váš účet potřebuje přiřazení role Přispěvatel spravované identity.

Přiřazení identity přiřazené systémem k prostředku zátěžového testování

Pokud chcete přiřadit identitu přiřazenou systémem pro prostředek zátěžového testování Azure, povolte u prostředku vlastnost. Tuto vlastnost můžete nastavit pomocí webu Azure Portal nebo pomocí šablony Azure Resource Manageru (ARM).

Azure Portal

Pokud chcete nastavit spravovanou identitu na portálu, nejprve vytvoříte prostředek zátěžového testování Azure a pak tuto funkci povolíte.

1. Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.

2. V levém podokně vyberte Identita.

3. Na kartě Přiřazený systém přepněte stav na Zapnuto a pak vyberte Uložit.

   

4. V potvrzovacím okně potvrďte přiřazení spravované identity výběrem možnosti Ano .

5. Po dokončení této operace se na stránce zobrazí ID objektu spravované identity a umožní vám k ní přiřadit oprávnění.

   

Azure CLI

Spuštěním az load update příkazu --identity-type SystemAssigned přidejte identitu přiřazenou systémem k vašemu prostředku zátěžového testování:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Šablona ARM

K automatizaci nasazení prostředků Azure můžete použít šablonu ARM. Další informace o používání šablon ARM se službou Azure Load Testing najdete v referenční dokumentaci k ARM pro zátěžové testování Azure.

Spravovanou identitu přiřazenou systémem můžete přiřadit při vytváření prostředku typu Microsoft.LoadTestService/loadtests. identity Nakonfigurujte vlastnost s SystemAssigned hodnotou v definici prostředku:

"identity": {
    "type": "SystemAssigned"
}

Přidáním typu identity přiřazené systémem říkáte Azure, aby vytvořila a spravuje identitu vašeho prostředku. Prostředek zátěžového testování Azure může vypadat například takto:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Po dokončení vytváření prostředku jsou pro prostředek nakonfigurovány následující vlastnosti:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Vlastnost tenantId určuje, do kterého tenanta Microsoft Entra patří spravovaná identita. Jedná se principalId o jedinečný identifikátor nové identity prostředku. V rámci ID Microsoft Entra má instanční objekt stejný název jako prostředek zátěžového testování Azure.

Přiřazení identity přiřazené uživatelem k prostředku zátěžového testování

Abyste mohli přidat spravovanou identitu přiřazenou uživatelem do prostředku zátěžového testování Azure, musíte nejprve vytvořit tuto identitu v Microsoft Entra ID. Potom můžete identitu přiřadit pomocí jeho identifikátoru prostředku.

Do prostředku můžete přidat několik spravovaných identit přiřazených uživatelem. Pokud například potřebujete získat přístup k více prostředkům Azure, můžete každému z těchto identit udělit různá oprávnění.

Azure Portal

1. Podle pokynů uvedených v tématu Vytvoření spravované identity přiřazené uživatelem vytvořte spravovanou identitu přiřazenou uživatelem.

   

2. Na webu Azure Portal přejděte k prostředku zátěžového testování Azure.

3. V levém podokně vyberte Identita.

4. Vyberte kartu Přiřazené uživatelem a vyberte Přidat.

5. Vyhledejte a vyberte spravovanou identitu, kterou jste vytvořili dříve. Pak ho vyberte Přidat a přidejte ho do prostředku zátěžového testování Azure.

   

Azure CLI

1. Vytvořte identitu přiřazenou uživatelem.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Spuštěním az load update příkazu --identity-type UserAssigned přidejte identitu přiřazenou uživatelem do prostředku zátěžového testování:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Šablona ARM

Prostředek zátěžového testování Azure můžete vytvořit pomocí šablony ARM a typu Microsoft.LoadTestService/loadtestsprostředku . Další informace o používání šablon ARM se službou Azure Load Testing najdete v referenční dokumentaci k ARM pro zátěžové testování Azure.

1. Podle pokynů uvedených v tématu Vytvoření spravované identity přiřazené uživatelem vytvořte spravovanou identitu přiřazenou uživatelem.

2. V části definice prostředku zadejte spravovanou identitu identity přiřazenou uživatelem.

   <RESOURCEID> Zástupný text nahraďte ID prostředku vaší identity přiřazené uživatelem:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   Následující fragment kódu ukazuje příklad definice prostředku ARM pro zátěžové testování Azure s identitou přiřazenou uživatelem:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Po vytvoření prostředku zátěžového testování azure ve výstupu poskytuje principalId vlastnosti a clientId vlastnosti:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   Jedná se principalId o jedinečný identifikátor identity, který se používá pro správu Microsoft Entra. Jedná se clientId o jedinečný identifikátor nové identity prostředku, která se používá k určení identity, která se má použít během volání modulu runtime.

Konfigurace cílového prostředku

Možná budete muset nakonfigurovat cílový prostředek tak, aby umožňoval přístup z vašeho prostředku zátěžového testování. Pokud například čtete tajný klíč nebo certifikát ze služby Azure Key Vault nebo používáte klíče spravované zákazníkem pro šifrování, musíte také přidat zásadu přístupu, která zahrnuje spravovanou identitu vašeho prostředku. Jinak se vaše volání do služby Azure Key Vault odmítne, i když použijete platný token.

Související obsah

• Použití tajných kódů nebo certifikátů v zátěžového testu
• Konfigurace klíčů spravovaných zákazníkem pro šifrování
• Co jsou spravované identity pro prostředky Azure?