Verwenden von verwalteten Identitäten für Azure App Configuration

  • Artikel

In diesem Thema erfahren Sie, wie Sie eine verwaltete Identität für Azure App Configuration erstellen. Eine verwaltete Identität von Microsoft Entra ID ermöglicht Azure App Configuration, einfach auf andere durch Microsoft Entra geschützte Ressourcen zuzugreifen. Die Identität wird von der Azure-Plattform verwaltet. Sie müssen keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Ihrer Anwendung können zwei Arten von Identitäten zugewiesen werden:

  • Eine vom System zugewiesene Identität ist an Ihren Konfigurationsspeicher gebunden. Sie wird gelöscht, wenn Ihr Konfigurationsspeicher gelöscht wird. Ein Konfigurationsspeicher kann nur eine systemseitig zugewiesene Identität aufweisen.
  • Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrem Konfigurationsspeicher zugewiesen werden kann. Ein Konfigurationsspeicher kann mehrere benutzerseitig zugewiesene Identitäten aufweisen.

Hinzufügen einer systemseitig zugewiesenen Identität

Für die Erstellung eines App Configuration-Speichers mit einer systemseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft im Speicher festgelegt werden.

Verwenden der Azure-Befehlszeilenschnittstelle

Um eine verwaltete Identität mithilfe der Azure-Befehlszeilenschnittstelle einzurichten, wenden Sie den Befehl az appconfig identity assign auf einen vorhandenen Konfigurationsspeicher an. Für die Ausführung der Beispiele in diesem Abschnitt gibt es drei Optionen:

In den nachstehenden Schritten werden Sie durch das Erstellen eines App Configuration-Speichers und das Zuweisen einer Identität mithilfe der Befehlszeilenschnittstelle geleitet:

  1. Melden Sie sich bei Verwendung der Azure CLI in einer lokalen Konsole zunächst mit az login bei Azure an. Verwenden Sie ein Konto, das mit Ihrem Azure-Abonnement verknüpft ist:

    az login

  2. Erstellen Sie über die Befehlszeilenschnittstelle einen App Configuration-Speicher. Weitere Beispiele für die Verwendung der Befehlszeilenschnittstelle mit Azure App Configuration finden Sie unter CLI-Beispiele für App Configuration:

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Führen Sie den Befehl az appconfig identity assign aus, um die vom System zugewiesene Identität für diesen Konfigurationsspeicher zu erstellen:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup

Hinzufügen einer benutzerseitig zugewiesenen Identität

Für das Erstellen eines App Configuration-Speichers mit einer benutzerseitig zugewiesenen Identität müssen Sie die Identität erstellen und dann Ihrem Speicher den Ressourcenbezeichner der Identität zuweisen.

Hinweis

Sie können einem App Configuration Store bis zu 10 von einem*einer Benutzer*in zugewiesene verwaltete Identitäten hinzufügen.

Verwenden der Azure-Befehlszeilenschnittstelle

Um eine verwaltete Identität mithilfe der Azure-Befehlszeilenschnittstelle einzurichten, wenden Sie den Befehl az appconfig identity assign auf einen vorhandenen Konfigurationsspeicher an. Für die Ausführung der Beispiele in diesem Abschnitt gibt es drei Optionen:

  • Verwenden Sie Azure Cloud Shell über das Azure-Portal.
  • Verwenden Sie die eingebettete Azure Cloud Shell über die Schaltfläche „Ausprobieren“ in der rechten oberen Ecke der unten aufgeführten Codeblöcke.
  • Installieren Sie die neueste Version der Azure CLI (2.0.31 oder höher), wenn Sie lieber eine lokale CLI-Konsole verwenden möchten.

Die folgenden Schritte führen Sie durch das Erstellen einer vom Benutzer zugewiesenen Identität und eines App Configuration-Speichers und das anschließende Zuweisen der Identität zum Speicher mithilfe der Befehlszeilenschnittstelle:

  1. Melden Sie sich bei Verwendung der Azure CLI in einer lokalen Konsole zunächst mit az login bei Azure an. Verwenden Sie ein Konto, das mit Ihrem Azure-Abonnement verknüpft ist:

    az login

  2. Erstellen Sie über die Befehlszeilenschnittstelle einen App Configuration-Speicher. Weitere Beispiele für die Verwendung der Befehlszeilenschnittstelle mit Azure App Configuration finden Sie unter CLI-Beispiele für App Configuration:

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Erstellen Sie mit der Befehlszeilenschnittstelle eine vom Benutzer zugewiesene Identität mit dem Namen myUserAssignedIdentity.

    az identity create -resource-group myResourceGroup --name myUserAssignedIdentity

    Beachten Sie in der Ausgabe dieses Befehls den Wert der id-Eigenschaft.

  4. Führen Sie den Befehl az appconfig identity assign aus, um diesem Konfigurationsspeicher die neue vom Benutzer zugewiesene Identität zuzuweisen. Verwenden Sie den Wert der id-Eigenschaft, den Sie im vorherigen Schritt notiert haben.

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity

Entfernen einer Identität

Eine vom System zugewiesene Identität kann entfernt werden, indem das Feature mithilfe des Befehls az appconfig identity remove in der Azure-Befehlszeilenschnittstelle deaktiviert wird. Benutzerseitig zugewiesene Identitäten können einzeln entfernt werden. Wenn Sie eine vom System zugewiesene Identität auf diese Weise entfernen, wird sie auch aus Microsoft Entra ID gelöscht. Systemseitig zugewiesene Identitäten werden automatisch aus Microsoft Entra ID entfernt, wenn die App-Ressource gelöscht wird.

Nächste Schritte

Erstellen einer ASP.NET Core-App mit Azure App Configuration