Verwenden verwalteter Identitäten für Azure Load Testing

Dieser Artikel zeigt, wie Sie eine verwaltete Identität für Azure Load Testing erstellen. Sie können eine verwaltete Identität verwenden, um Geheimnisse oder Zertifikate aus Azure Key Vault in Ihrem Auslastungstest sicher zu lesen.

Mit einer verwalteten Identität von Microsoft Entra ID kann Ihre Ressourcen zum Auslastungstest problemlos auf Microsoft Entra geschützte Azure Key Vault zugreifen. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse verwalten oder rotieren. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Azure Load Testing unterstützt zwei Arten von Identitäten:

• Eine systemseitig zugewiesene Identität wird Ihrer Auslastungstestressource zugeordnet und beim Löschen der Ressource entfernt. Eine Ressource kann nur über eine systemseitig zugewiesene Identität verfügen.
• Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Sie Ihrer Auslastungstestressource zuweisen können. Wenn Sie die Auslastungstestressource löschen, bleibt die verwaltete Identität weiterhin verfügbar. Sie können der Auslastungstestressource mehrere benutzerseitig zugewiesene Identitäten zuweisen.

Derzeit können Sie die verwaltete Identität nur für den Zugriff auf Azure Key Vault verwenden.

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Azure-Abonnement besitzen, erstellen Sie ein kostenloses Konto, bevor Sie beginnen.
• Eine Azure Load Testing-Ressource. Wenn Sie eine Azure Load Testing-Ressource erstellen müssen, finde Sie weitere Informationen im Schnellstart Erstellen und Ausführen eines Auslastungstests.
• Ihrem Konto muss die Rolle Mitwirkender für verwaltete Identität zugewiesen sein, damit eine benutzerseitig zugewiesene verwaltete Identität erstellt werden kann.

Zuweisen einer vom System zugewiesenen Identität zu einer Auslastungstestressource

Um eine systemseitig zugewiesene Identität für Ihre Azure Load Testing-Ressource zuzuweisen, aktivieren Sie eine Eigenschaft für die Ressource. Sie können diese Eigenschaft über das Azure-Portal oder mithilfe einer ARM-Vorlage (Azure Resource Manager) festlegen.

Portal

Um eine verwaltete Entität im Portal einzurichten, erstellen Sie zuerst eine Azure Load Testing-Ressource und aktivieren dann das Feature.

1. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

2. Wählen Sie im linken Fensterbereich Identität.

3. Stellen Sie auf der Registerkarte Systemseitig zugewiesen Status auf An und wählen Sie dann Speichern.

   

4. Wählen Sie im Bestätigungsfenster Ja aus, um die Zuweisung der verwalteten Identität zu bestätigen.

5. Nach Abschluss dieses Vorgangs zeigt die Seite die Objekt-ID der verwalteten Identität an und ermöglicht Ihnen das Zuweisen von Berechtigungen.

   

Azure-Befehlszeilenschnittstelle

Führen Sie den Befehl az load update mit --identity-type SystemAssigned aus, um Ihrer Ressourcen zum Auslastungstest eine vom System zugewiesene Identität hinzuzufügen:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

ARM-Vorlage

Sie können eine ARM-Vorlage verwenden, um die Bereitstellung Ihrer Azure-Ressourcen zu automatisieren. Weitere Informationen zur Verwendung von ARM-Vorlagen mit Azure Load Testing finden Sie in der ARM-Referenzdokumentation für Azure Load Testing.

Sie können eine systemseitig zugewiesene verwaltete Identität zuweisen, wenn Sie eine Ressource vom Typ Microsoft.LoadTestService/loadtests erstellen. Konfigurieren Sie die identity-Eigenschaft in der Ressourcendefinition mit dem Wert SystemAssigned:

"identity": {
    "type": "SystemAssigned"
}

Durch Hinzufügen des Typs „systemseitig zugewiesen“ wird Azure angewiesen, die Identität für Ihre Ressource zu erstellen und zu verwalten. Eine Azure Load Testing-Ressource könnte beispielsweise wie folgt aussehen:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Nach Abschluss der Ressourcenerstellung werden die folgenden Eigenschaften für die Ressource konfiguriert:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Die tenantId-Eigenschaft gibt an, zu welchem Microsoft Entra-Mandanten die verwaltete Identität gehört. principalId ist ein eindeutiger Bezeichner für die neue Identität der Ressource. Innerhalb von Microsoft Entra ID weist der Dienstprinzipal den gleichen Namen wie die Azure Load Testing-Ressource auf.

Zuweisen einer benutzerseitig zugewiesenen Identität zu einer Auslastungstestressource

Bevor Sie einer Azure Load Testing-Ressource eine benutzerseitig zugewiesene verwaltete Identität hinzufügen können, müssen Sie diese Identität zunächst in Microsoft Entra ID erstellen. Anschließend können Sie die Identität über ihren Ressourcenbezeichner zuweisen.

Sie können Ihrer Ressource mehrere benutzerseitig zugewiesene verwaltete Identitäten hinzufügen. Wenn Sie beispielsweise auf mehrere Azure-Ressourcen zugreifen müssen, können Sie jeder dieser Identitäten unterschiedliche Berechtigungen erteilen.

Portal

1. Erstellen Sie anhand der Anweisungen unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität eine benutzerseitig zugewiesene verwaltete Identität.

   

2. Wechseln Sie im Azure-Portal zu Ihrer Azure Load Testing-Ressource.

3. Wählen Sie im linken Fensterbereich Identität.

4. Wählen Sie die Registerkarte Benutzerseitig zugewiesen und dann Hinzufügen aus.

5. Suchen Sie nach der zuvor erstellten verwalteten Identität, und wählen Sie sie aus. Wählen Sie dann Hinzufügen aus, um sie der Azure Load Testing-Ressource hinzuzufügen.

   

Azure-Befehlszeilenschnittstelle

1. Erstellen Sie eine benutzerseitig zugewiesene Identität.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Führen Sie den Befehl az load update mit --identity-type UserAssigned aus, um Ihrer Ressourcen zum Auslastungstest eine vom Benutzer zugewiesene Identität hinzuzufügen:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

ARM-Vorlage

Sie können eine Azure Load Testing-Ressource erstellen, indem Sie eine ARM-Vorlage und den Ressourcentyp Microsoft.LoadTestService/loadtests verwenden. Weitere Informationen zur Verwendung von ARM-Vorlagen mit Azure Load Testing finden Sie in der ARM-Referenzdokumentation für Azure Load Testing.

1. Erstellen Sie anhand der Anweisungen unter Erstellen einer benutzerseitig zugewiesenen verwalteten Identität eine benutzerseitig zugewiesene verwaltete Identität.

2. Geben Sie die benutzerseitig zugewiesene Identität im Abschnitt identity der Ressourcendefinition an.

   Ersetzen Sie den Textplatzhalter <RESOURCEID> durch die Ressourcen-ID der benutzerseitig zugewiesenen verwalteten Identität:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   Der folgende Codeausschnitt zeigt ein Beispiel für eine Azure Load Testing-ARM-Ressourcendefinition mit einer benutzerseitig zugewiesenen Identität:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Nach dem Erstellen der Auslastungstestressource stellt Azure die Eigenschaften principalId und clientId bereit:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   principalId ist ein eindeutiger Bezeichner für die Identität, der bei der Microsoft Entra-Verwaltung verwendet wird. clientId ist ein eindeutiger Bezeichner für die neue Identität der Ressource, der bei Runtimeaufrufen angibt, welche Identität verwendet werden soll.

Zielressource konfigurieren

Möglicherweise müssen Sie die Zielressource so konfigurieren, dass der Zugriff von Ihrer Auslastungstestressource zugelassen wird. Wenn Sie beispielsweise ein Geheimnis oder ein Zertifikat aus Azure Key Vault lesen oder wenn Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung verwenden, müssen Sie auch eine Zugriffsrichtlinie hinzufügen, die die verwaltete Identität Ihrer Ressource enthält. Andernfalls werden Ihre Aufrufe an Azure Key Vault abgelehnt, auch wenn Sie ein gültiges Token verwenden.

Wenn Sie Fehlerkriterien für Servermetriken festlegen möchten, sollten Sie eine Metrikreferenzidentität angeben, für die Metriken abgerufen werden sollen. Sie sollten die Zielressource so konfigurieren, dass die Identität die Metriken aus der Ressource lesen kann.

Zugehöriger Inhalt

• Verwenden von Geheimnissen oder Zertifikaten in Ihrem Auslastungstest
• Konfigurieren von kundenseitig verwalteten Schlüsseln für die Verschlüsselung
• Was sind verwaltete Identitäten für Azure-Ressourcen?