Verwenden einer verwalteten Identität in Azure Kubernetes Service

Ein AKS-Cluster (Azure Kubernetes Service) erfordert eine Identität, um auf Azure-Ressourcen wie Lastenausgleiche und verwaltete Datenträger zuzugreifen. Dabei kann es sich um eine verwaltete Identität oder einen Dienstprinzipal handeln. Wenn Sie einen AKS-Cluster erstellen, wird standardmäßig automatisch eine systemseitig zugewiesene verwaltete Identität erstellt. Da die Identität von der Azure-Plattform verwaltet wird, müssen Sie keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Azure AD finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Um einen Dienstprinzipal zu verwenden, müssen Sie ihn erstellen, da AKS ihn nicht automatisch erstellt. Cluster mit Dienstprinzipalen laufen letztendlich ab, und der Dienstprinzipal muss erneuert werden, damit der Cluster ordnungsgemäß funktioniert. Das Verwalten von Dienstprinzipalen erhöht die Komplexität, daher ist es einfacher, stattdessen verwaltete Identitäten zu verwenden. Dieselben Berechtigungsanforderungen gelten sowohl für Dienstprinzipale als auch für verwaltete Identitäten.

Verwaltete Identitäten stellen im Wesentlichen einen Wrapper um Dienstprinzipale dar und vereinfachen deren Verwaltung. Verwaltete Identitäten verwenden zertifikatbasierte Authentifizierung, und jede verwaltete Identität hat einen Ablauf von 90 Tagen und wird nach 45 Tagen erneuert. AKS verwendet sowohl systemseitig zugewiesene als auch benutzerseitig zugewiesene verwaltete Identitätstypen, und diese Identitäten sind unveränderlich.

Voraussetzungen

Azure-Befehlszeilenschnittstelle Version 2.23.0 oder höher. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Einschränkungen

  • Das Verschieben oder Migrieren von Clustern mit aktivierter verwalteter Identität wird für Mandanten nicht unterstützt.
  • Wenn im Cluster Azure AD Pod-verwaltete Identität (aad-pod-identity) aktiviert ist, ändern NMI-Pods (Node-Managed Identity) die iptables der Knoten, um Aufrufe an den Endpunkt Azure Instance Metadata (IMDS) abzufangen. Diese Konfiguration bedeutet, dass jede Anforderung, die an den Metadatenendpunkt gerichtet ist, von NMI abgefangen wird, auch wenn aad-pod-identity vom Pod nicht verwendet wird. Die AzurePodIdentityException-CRD kann so konfiguriert werden, dass aad-pod-identity darüber informiert wird, dass an den Metadatenendpunkt gerichtete Anforderungen, die von einem Pod stammen, der in der CRD definierte Bezeichnungen abgleicht, ohne Verarbeitung in NMI über einen Proxy zu senden sind. Die Systempods mit der Bezeichnung kubernetes.azure.com/managedby: aks im Namespace kubernetes.azure.com/managedby: aks müssen in aad-pod-identity durch Konfiguration der AzurePodIdentityException-CRD ausgeschlossen werden. Weitere Informationen finden Sie unter Disable aad-pod-identity for a specific pod or application (Deaktivieren von „aad-pod-identity“ für einen bestimmten Pod oder eine bestimmte Anwendung). Installieren zur Konfiguration einer Ausnahme die YAML-Datei „mic-exception“.

Hinweis

Wenn Sie erwägen, eine Azure AD Pod-verwaltete Identität auf Ihrem AKS-Cluster zu implementieren, empfehlen wir Ihnen, zunächst den Artikel Überblick über Workload-Identität zu lesen, um unsere Empfehlungen und Optionen für die Einrichtung Ihres Clusters zur Verwendung einer Azure AD Workload-Identität zu verstehen (Vorschau). Diese Authentifizierungsmethode ersetzt verwaltete Podidentitäten (Vorschauversion), die in die nativen Kubernetes-Funktionen integriert werden, um einen Verbund mit externen Identitätsanbietern einzugehen.

Zusammenfassung der verwalteten Identitäten

AKS verwendet mehrere verwaltete Identitäten für integrierte Dienste und Add-Ons.

Identity Name Anwendungsfall Standardberechtigungen Verwendung eigener Identitäten
Steuerungsebene Name des AKS-Clusters Wird von Komponenten der AKS-Steuerungsebene verwendet, um Clusterressourcen wie Lastenausgleichsmodule für eingehenden Datenverkehr und von AKS verwaltete öffentliche IP-Adressen, die Autoskalierung im Cluster sowie CSI-Treiber für Datenträger und Dateien in Azure zu verwalten. Rolle „Mitwirkender“ für Knotenressourcengruppe Unterstützt
Kubelet Name des AKS-Clusters: agentpool Authentifizierung bei Azure Container Registry (ACR) N/V (für Kubernetes v1.15+) Unterstützt
Add-On AzureNPM Keine Identität erforderlich Nicht verfügbar Nein
Add-On Azure CNI-Netzwerküberwachung Keine Identität erforderlich Nicht verfügbar Nein
Add-On azure-policy (Gatekeeper) Keine Identität erforderlich Nicht verfügbar Nein
Add-On azure-policy Keine Identität erforderlich Nicht verfügbar Nein
Add-On Calico Keine Identität erforderlich Nicht verfügbar Nein
Add-On Dashboard Keine Identität erforderlich Nicht verfügbar Nein
Add-On HTTPApplicationRouting Verwaltung erforderlicher Netzwerkressourcen Rolle „Leser“ für Knotenressourcengruppe, Rolle „Mitwirkender“ für DNS-Zone Nein
Add-On Anwendungsgateway für eingehenden Datenverkehr Verwaltung erforderlicher Netzwerkressourcen Rolle „Mitwirkender“ für Knotenressourcengruppe Nein
Add-On omsagent Senden von AKS-Metriken an Azure Monitor Rolle „Herausgeber von Überwachungsmetriken“ Nein
Add-On Virtual-Node (ACI-Connector) Verwaltung erforderlicher Netzwerkressourcen für Azure Container Instances (ACI) Rolle „Mitwirkender“ für Knotenressourcengruppe Nein
Open-Source-Software-Projekt (OSS) aad-pod-identity Ermöglicht Anwendungen den sicheren Zugriff auf Cloudressourcen mit Microsoft Azure Active Directory (Azure AD). Nicht verfügbar Schritte zum Zuweisen der Berechtigung bei der Rollenzuweisungskonfiguration der Azure AD-Podidentität.

Erstellen eines AKS-Clusters mithilfe verwalteter Identität

Hinweis

AKS erstellt eine systemseitig zugewiesene Kubelet-Identität in der Knotenressourcengruppe, wenn Sie keine eigene verwaltete Kubelet-Identität angeben.

Sie können einen AKS-Cluster mithilfe einer systemseitig zugewiesenen verwalteten Identität erstellen, indem Sie den folgenden CLI-Befehl ausführen.

Erstellen Sie als Erstes eine Azure-Ressourcengruppe:

# Create an Azure resource group
az group create --name myResourceGroup --location westus2

Erstellen Sie anschließend einen AKS-Cluster:

az aks create -g myResourceGroup -n myManagedCluster --enable-managed-identity

Nach der Clustererstellung können Sie Ihre Anwendungsworkloads im neuen Cluster bereitstellen und damit genau wie mit dienstprinzipalbasierten AKS-Clustern interagieren.

Rufen Sie schließlich Anmeldeinformationen für den Zugriff auf den Cluster ab:

az aks get-credentials --resource-group myResourceGroup --name myManagedCluster

Aktualisieren eines AKS-Clusters zur Verwendung einer verwalteten Identität

Hinweis

Wenn AKS über eine benutzerdefinierte private DNS-Zone verfügt, unterstützt AKS die Verwendung systemseitig zugewiesener verwalteter Identitäten nicht.

Führen Sie den folgenden CLI-Befehl aus, um einen AKS-Cluster, der derzeit einen Dienstprinzipal verwendet, zu aktualisieren, um mit einer systemseitig zugewiesenen verwalteten Identität zu arbeiten.

az aks update -g <RGName> -n <AKSName> --enable-managed-identity

Hinweis

Ein Update funktioniert nur, wenn ein tatsächliches VHD-Update genutzt werden kann. Wenn Sie die neueste VHD ausführen, müssen Sie warten, bis die nächste VHD verfügbar wird, um das Update auszuführen.

Hinweis

Nach der Aktualisierung verwenden die Steuerungsebene und die Add-On-Pods des Clusters die verwaltete Identität, aber Kubelet verwendet solange einen Dienstprinzipal, bis Sie den Agent-Pool upgraden. Führen Sie auf Ihren Knoten ein az aks nodepool upgrade --node-image-only aus, um das Update auf eine verwaltete Identität abzuschließen.

Wenn Ihr Cluster az aks update --attach-acr <ACR Resource ID> zum Pullen aus dem Image aus Azure Container Registry verwendet hat, müssen Sie nach dem Aktualisieren des Clusters auf die verwaltete Identität --attach-acr erneut ausführen, damit die neu erstellte Kubelet-Instanz, die für die verwaltete Identität verwendet wird, die Berechtigung zum Pullen aus ACR erhält. Andernfalls können Sie nach dem Upgrade keinen Pull aus ACR ausführen.

Die Azure CLI stellt sicher, dass die Berechtigung Ihres Add-Ons nach der Migration richtig festgelegt ist. Wenn Sie die Azure CLI zum Durchführen des Migrationsvorgangs nicht verwenden, müssen Sie die Berechtigung der Add-On-Identität selbst verarbeiten. Hier sehen Sie ein Beispiel mit einer Azure-Resource Manager-Vorlage.

Warnung

Ein Upgrade von Knotenpools verursacht eine Downtime für Ihren AKS-Cluster, da die Knoten in den Knotenpools abgesperrt/ausgeglichen werden und dann ein erneutes Image erstellt wird.

Hinzufügen einer Rollenzuweisung für die Identität der Steuerungsebene

Wenn Sie ein eigenes VNet, einen angeschlossenen Azure-Datenträger, eine statische IP-Adresse, eine Routingtabelle oder eine vom Benutzer zugewiesene Kubelet-Identität erstellen und verwenden, bei denen die Ressourcen außerhalb der Workerknoten-Ressourcengruppe liegen, fügt die Azure CLI die Rollenzuweisung automatisch hinzu. Wenn Sie eine ARM-Vorlage oder andere Methode verwenden, müssen Sie die Prinzipal-ID der vom Cluster verwalteten Identität verwenden, um eine Rollenzuweisung durchzuführen.

Hinweis

Wenn Sie nicht die Azure CLI verwenden, sondern Ihr eigenes VNet, einen angeschlossenen Azure-Datenträger, eine statische IP-Adresse, eine Routingtabelle oder eine vom Benutzer zugewiesene Kubelet-Identität, die sich außerhalb der Workerknoten-Ressourcengruppe befinden, sollten Sie einebenutzerseitig zugewiesene Steuerungsebenen-Identität verwenden. Für die vom System zugewiesene Steuerungsebenen-Identität können wir die Identitäts-ID vor der Erstellung des Clusters nicht abrufen, wodurch sich das Wirksamwerden der Rollenzuweisung verzögert.

Abrufen der Prinzipal-ID der Steuerungsebenenidentität

Sie können die Prinzipal-ID der vorhandenen Identität finden, indem Sie den folgenden Befehl ausführen:

az identity show --ids <identity-resource-id>

Die Ausgabe sollte wie folgt aussehen:

{
  "clientId": "<client-id>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity",
  "location": "eastus",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Rollenzuweisung hinzufügen

Für VNet, angefügten Azure-Datenträger, statische IP-Adresse und Routingtabelle, die sich außerhalb der standardmäßigen Workerknoten-Ressourcengruppe befinden, müssen Sie die Contributor-Rolle für die benutzerdefinierten Ressourcengruppe zuweisen.

az role assignment create --assignee <control-plane-identity-principal-id> --role "Contributor" --scope "<custom-resource-group-resource-id>"

Beispiel:

az role assignment create --assignee 22222222-2222-2222-2222-222222222222 --role "Contributor" --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/custom-resource-group"

Für die benutzerseitig zugewiesene Kubelet-Identität, die sich außerhalb der standardmäßigen Wokerknoten-Ressourcengruppe befindet, müssen Sie den Managed Identity Operator in der Kubelet-Identität zuweisen.

az role assignment create --assignee <kubelet-identity-principal-id> --role "Managed Identity Operator" --scope "<kubelet-identity-resource-id>"

Beispiel:

az role assignment create --assignee 22222222-2222-2222-2222-222222222222 --role "Managed Identity Operator" --scope "/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"

Hinweis

Bis die Berechtigung wirksam wird, die der von Azure verwendeten verwalteten Identität Ihres Clusters gewährt wird, können bis zu 60 Minuten vergehen.

Verwenden Ihrer eigenen verwalteten Identität für die Steuerungsebene

Eine benutzerdefinierte verwaltete Steuerungsebenenidentität ermöglicht den Zugriff auf die vorhandene Identität vor der Clustererstellung. Dieses Feature ermöglicht beispielsweise die Verwendung eines benutzerdefinierten VNET oder einer UDR vom Typ „outboundType“ mit einer vorab erstellten verwalteten Identität.

Hinweis

Die Regionen „US DoD, Mitte“, „US DoD, Osten“ und „USGov Iowa“ in der Azure US Government-Cloud werden derzeit nicht unterstützt.

AKS erstellt eine systemseitig zugewiesene Kubelet-Identität in der Knotenressourcengruppe, wenn Sie keine eigene verwaltete Kubelet-Identität angeben.

Sollten Sie über keine verwaltete Identität verfügen, könnten Sie mithilfe des Befehls az identity eine erstellen.

az identity create --name myIdentity --resource-group myResourceGroup

Die Ausgabe sollte wie folgt aussehen:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Bevor Sie den Cluster erstellen, müssen Sie die Rollenzuweisung für die Identität der Steuerungsebene hinzufügen.

Erstellen Sie mit dem folgenden Befehl einen Cluster mit Ihrer vorhandenen Identität:

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --docker-bridge-address 172.17.0.1/16 \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --enable-managed-identity \
    --assign-identity <identity-resource-id>

Eine erfolgreiche Clustererstellung mit Ihrer eigenen verwalteten Identität sollte den folgenden userAssignedIdentities-Profilinformationen entsprechen:

 "identity": {
   "principalId": null,
   "tenantId": null,
   "type": "UserAssigned",
   "userAssignedIdentities": {
     "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
       "clientId": "<client-id>",
       "principalId": "<principal-id>"
     }
   }
 },

Verwenden einer vorab erstellten verwalteten Kubelet-Identität

Mit einer Kubelet-Identität kann der Zugriff auf die vorhandene Identität vor der Clustererstellung gewährt werden. Diese Funktion ermöglicht Szenarien wie die Verbindung zu ACR mit einer zuvor erstellten verwalteten Identität.

Voraussetzungen

Azure CLI, Version 2.26.0 oder höher ist installiert. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Einschränkungen

  • Es funktioniert ausschließlich mit einem benutzerseitig zugewiesenen verwalteten Cluster.
  • Die Regionen „China, Osten“ und „China, Norden“ werden in Azure China 21Vianet derzeit nicht unterstützt.

Erstellen benutzerseitig zugewiesener verwalteter Identitäten

Wenn Sie keine verwaltete Steuerungsebenenidentität haben, können Sie den folgenden az identity create-Befehl ausführen:

az identity create --name myIdentity --resource-group myResourceGroup

Die Ausgabe sollte wie folgt aussehen:

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Wenn Sie keine verwaltete Kubelet-Identität haben, können Sie mit dem folgenden az identity create-Befehl eine erstellen:

az identity create --name myKubeletIdentity --resource-group myResourceGroup

Die Ausgabe sollte wie folgt aussehen:

{
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", 
  "location": "westus2",
  "name": "myKubeletIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Erstellen eines Clusters anhand der benutzerseitig zugewiesenen Kubelet-Identität

Sie können jetzt den folgenden Befehl verwenden, um Ihren AKS-Cluster mit Ihren vorhandenen Identitäten zu erstellen. Geben Sie die Identitätsressourcen-ID der Steuerungsebene über assign-identity und die vom Kubelet verwaltete Identität über assign-kubelet-identity an:

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --docker-bridge-address 172.17.0.1/16 \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --enable-managed-identity \
    --assign-identity <identity-resource-id> \
    --assign-kubelet-identity <kubelet-identity-resource-id>

Eine erfolgreiche AKS-Clustererstellung unter Verwendung Ihrer eigenen verwalteten Kubelet-Identität sollte der folgenden Ausgabe ähneln:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

Aktualisieren eines vorhandenen Clusters mithilfe der Kubelet-Identität

Aktualisieren Sie die Kubelet-Identität auf einem vorhandenen AKS-Cluster mit Ihren vorhandenen Identitäten.

Warnung

Durch das Update der verwalteten Kubelet-Identität erfolgt ein Knotenpoolupgrade, was zu Downtime für Ihren AKS-Cluster führt, da die Knoten in den Knotenpools gesperrt/ausgeglichen werden und dann ein erneutes Image erstellt wird.

Hinweis

Wenn Ihr Cluster --attach-acr zum Pullen aus dem Image aus Azure Container Registry verwendet hat, müssen Sie nach dem Aktualisieren Ihrer Cluster-Kubelet-Identität az aks update --attach-acr <ACR Resource ID> erneut ausführen, damit die neu erstellte Kubelet-Instanz, die für die verwaltete Identität verwendet wird, die Berechtigung zum Pullen aus ACR erhält. Andernfalls können Sie nach dem Upgrade keinen Pull aus ACR ausführen.

Vergewissern Sie sich, dass die Version der CLI mindestens 2.37.0 ist.

# Check the version of Azure CLI modules 
az version

# Upgrade the version to make sure it is 2.37.0 or later
az upgrade

Abrufen der aktuellen Steuerungsebenenidentität für Ihren AKS-Cluster

Vergewissern Sie sich mit dem folgenden CLI-Befehl, dass Ihr AKS-Cluster die benutzerseitig zugewiesene Steuerungsebenenidentität verwendet:

az aks show -g <RGName> -n <ClusterName> --query "servicePrincipalProfile"

Wenn der Cluster eine verwaltete Identität verwendet, zeigt die Ausgabe clientId mit einem Wert von msi an. Ein Cluster mit einem Dienstprinzipal zeigt eine Objekt-ID an. Beispiel:

{
  "clientId": "msi"
}

Nachdem Sie überprüft haben, ob der Cluster eine verwaltete Identität verwendet, können Sie die Ressourcen-ID der Steuerungsebenenidentität mit dem folgenden Befehl ermitteln:

az aks show -g <RGName> -n <ClusterName> --query "identity"

Bei der benutzerseitig zugewiesenen Steuerungsebenenidentität sollte die Ausgabe wie folgt aussehen:

{
  "principalId": null,
  "tenantId": null,
  "type": "UserAssigned",
  "userAssignedIdentities": <identity-resource-id>
      "clientId": "<client-id>",
      "principalId": "<principal-id>"
},

Aktualisieren Ihres Clusters mit Kubelet-Identität

Wenn Sie keine verwaltete Kubelet-Identität haben, können Sie mit dem folgenden az identity create-Befehl eine erstellen:

az identity create --name myKubeletIdentity --resource-group myResourceGroup

Die Ausgabe sollte wie folgt aussehen:

{
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", 
  "location": "westus2",
  "name": "myKubeletIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

Sie können jetzt den folgenden Befehl verwenden, um Ihren Cluster mit Ihren vorhandenen Identitäten zu aktualisieren. Geben Sie die Identitätsressourcen-ID der Steuerungsebene über assign-identity und die vom Kubelet verwaltete Identität über assign-kubelet-identity an:

az aks update \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-managed-identity \
    --assign-identity <identity-resource-id> \
    --assign-kubelet-identity <kubelet-identity-resource-id>

Eine erfolgreiche Clusteraktualisierung unter Verwendung Ihrer eigenen verwalteten Kubelet-Identität enthält die folgende Ausgabe:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

Nächste Schritte

Verwenden Sie Azure Resource Manager-Vorlagen zum Erstellen von Clustern, die verwaltete Identitäten unterstützen.