Použití spravovaných identit pro Azure se službou Azure Monitor SCOM Managed Instance
Běžnou výzvou při vytváření cloudových aplikací je, jak bezpečně spravovat přihlašovací údaje v kódu pro ověřování různých služeb, aniž byste je museli ukládat místně na vývojářské pracovní stanici nebo ve správě zdrojového kódu.
Spravované identity pro Azure tento problém řeší u všech vašich prostředků v Azure Active Directory tím, že jim poskytují automaticky spravované identity. Identitu služby můžete použít k ověření jakékoli služby, která podporuje ověřování Azure Active Directory, včetně služby Key Vault, bez řazení přihlašovacích údajů v kódu.
Poznámka
- Spravované identity pro Azure jsou novým názvem služby dříve označované jako Identita spravované služby (MSI).
- Spravované identity pro prostředky Azure jsou bezplatné s předplatnými Azure Active Directory. Nejsou žádné další náklady.
Koncepty
Spravované identity pro Azure jsou založené na několika klíčových konceptech:
ID klienta – jedinečný identifikátor vygenerovaný službou Azure Active Directory, který je při počátečním zřizování svázán s aplikací a instančním objektem. Další informace najdete v tématu ID aplikace (klienta).
ID objektu zabezpečení – ID objektu instančního objektu pro vaši spravovanou identitu, které se používá k udělení přístupu na základě role k prostředku Azure.
Instanční objekt – objekt Azure Active Directory, který představuje projekci aplikace Azure Active Directory v daném tenantovi. Další informace najdete v tématu Instanční objekt.
Typy spravovaných identit
Existují dva typy spravovaných identit:
Spravovaná identita přiřazená systémem: Povoluje se přímo v instanci služby Azure. Životní cyklus identity přiřazené systémem je jedinečný pro instanci služby Azure, ve které je povolená.
Spravovaná identita přiřazená uživatelem: Vytvořena jako samostatný prostředek Azure. Identitu je možné přiřadit k jedné nebo několika instancím služby Azure a spravuje se odděleně od životního cyklu těchto instancí.
Další informace o spravovaných typech identit najdete v tématu Jak fungují spravované identity pro prostředky Azure.
Podporované scénáře pro spravovanou instanci SCOM
Spravovaná instance SCOM podporuje spravovanou identitu přiřazenou systémem i spravovanou identitu přiřazenou uživatelem pro spravované instance SCOM nasazené v Azure. Spravovaná instance SCOM vytvoří další závislé prostředky, jako je cluster Virtual Machine Scale Sets (VMSS), na servery pro správu. Spravovaná instance SCOM nasadila spravované identity pomocí hobo v2 tak, aby se přiřazená identita delegovala na základní infrastrukturu pro ověřování pomocí prostředků jímky. Tyto identity se používají k ověřování dalších služeb Azure v různých scénářích.
Spravovaná identita přiřazená systémem
- Spravovaná instance SCOM bude odesílat různé metriky stavu nebo výkonu do služeb clusteru Geneva a bude monitorovat chování instance za běhu. Identita přiřazená systémem, která je delegovaná na prostředek spravované instance SCOM, se použije k ověřování ve službách clusteru Azure Geneva.
Spravovaná identita přiřazená uživatelem
Pro spravovanou instanci SCOM nahradí tradiční čtyři účty služby System Center Operations Manager spravovaná identita a použije se pro přístup k databázi SQL Managed Instance. Spravovaná instance SCOM čte nebo zapisuje data monitorování úloh zákazníka do databází spravovaných instancí SQL. Identita přiřazená uživatelem přiřazená prostředku spravované instance SCOM se použije k ověřování ze serverů System Center Operations Manageru do spravované instance SQL.
Proces onboardingu spravované instance SCOM přebírá přihlašovací údaje uživatele domény uložené ve službě Customer Key Vault. K tajným kódům v trezoru klíčů zákazníka se přistupuje pomocí spravované identity přiřazené spravované instanci SCOM.
Během onboardingu spravované instance SCOM musíte zadat identitu spravovanou uživatelem, která má přístup k trezoru klíčů zákazníka a SQL Managed Instance.
Vytvoření identity spravované služby (MSI)
Vytvořte identitu spravované služby a poskytněte jí správnou úroveň přístupu k prostředku Azure.
Vytvoření trezoru klíčů a přidání přihlašovacích údajů jako tajného kódu do trezoru klíčů
Z důvodu zabezpečení uložte účet domény, který vytvoříte ve službě Active Directory, do účtu trezoru klíčů. Azure Key Vault je cloudová služba, která poskytuje zabezpečené úložiště klíčů, tajných kódů a certifikátů. Další informace najdete v tématu Azure Key Vault.
- Vytvořte trezor klíčů.
- Vytvořte tajný kód pro účet domény.
- Přiřaďte roli Čtenář v tomto trezoru klíčů identitě spravované služby (MSI). Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.
Nastavení hodnoty Správa služby Active Directory v SQL Managed Instance
Nastavte hodnotu Správa služby Active Directory v SQL Managed Instance.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro