Uso de identidades administradas para Azure Load Testing

En este artículo se muestra cómo crear una identidad administrada para cuentas de Azure Load Testing. Puede usar una identidad administrada para leer de forma segura secretos o certificados de Azure Key Vault en la prueba de carga.

Una identidad administrada de Microsoft Entra ID permite que el recurso de prueba de carga acceda fácilmente a Azure Key Vault protegido por Microsoft Entra. La plataforma Azure administra la identidad y no es necesario que lleve a cabo la administración ni la rotación de los secretos. Para más información sobre las identidades administradas en Microsoft Entra ID, consulte Identidades administradas para recursos de Azure.

Azure Load Testing admite dos tipos de identidades:

• Una identidad asignada por el sistema está asociada al recurso de prueba de carga y se elimina cuando se elimina el recurso. Un recurso puede tener solo una identidad asignada por el sistema.
• Una identidad asignada por el usuario es un recurso de Azure independiente que puede asignar al recurso de prueba de carga. Al eliminar el recurso de prueba de carga, la identidad administrada permanece disponible. Puede asignar varias identidades asignadas por el usuario al recurso de prueba de carga.

Actualmente, solo puede usar la identidad administrada para acceder a Azure Key Vault.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
• Un recurso de prueba de carga de Azure. Si necesita crear un recurso de prueba de carga de Azure, consulte la guía de inicio rápido Creación y ejecución de una prueba de carga.
• Para crear una identidad administrada asignada por el usuario, la cuenta requiere la asignación del rol Colaborador de identidades administradas.

Asignación de una identidad asignada por el sistema a un recurso de prueba de carga

Para asignar una identidad asignada por el sistema para el recurso de prueba de carga de Azure, debe habilitar una propiedad en él. Puede establecer esta propiedad con Azure Portal o mediante una plantilla de Azure Resource Manager (ARM).

Portal

Para configurar una identidad administrada en el portal, primero cree un recurso de prueba de carga de Azure y luego habilite la característica.

1. En Azure Portal, vaya al recurso de prueba de carga de Azure.

2. Seleccione Identidad en el panel izquierdo.

3. En la pestaña Sistema asignado, cambie Estado a Eny, a continuación, seleccione Guardar.

   

4. En la ventana de confirmación, seleccione Sí para confirmar la asignación de la identidad administrada.

5. Una vez completada esta operación, la página muestra el id. del objeto de la identidad administrada y le permite asignar permisos.

   

CLI de Azure

Ejecute el az load update comando con --identity-type SystemAssigned para agregar una identidad asignada por el sistema al recurso de prueba de carga:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Plantilla ARM

Puede usar una plantilla de ARM para automatizar la implementación de los recursos de Azure. Para más información sobre el uso de plantillas de ARM con Azure Load Testing, consulte la documentación de referencia de ARM de Azure Load Testing.

Puede asignar una identidad administrada asignada por el sistema al crear un recurso de tipo Microsoft.LoadTestService/loadtests. Configure la propiedad identity con el valor SystemAssigned en la definición de recurso:

"identity": {
    "type": "SystemAssigned"
}

Al agregar el tipo de identidad asignado por el sistema, se indica a Azure que debe crear y administrar la identidad del recurso. Por ejemplo, un recurso de prueba de carga de Azure podría tener un aspecto parecido al siguiente:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Una vez finalizada la creación del recurso, se configuran las siguientes propiedades para él:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

La tenantId propiedad identifica a qué inquilino de Microsoft Entra pertenece la identidad administrada. principalId es un identificador único para la nueva identidad del recurso. Dentro del identificador de Microsoft Entra ID, la entidad de servicio tiene el mismo nombre que el recurso de prueba de carga de Azure.

Asignación de una identidad asignada por el usuario a un recurso de prueba de carga

Para poder agregar una identidad administrada asignada por el usuario a un recurso de prueba de carga de Azure, primero debe crear esta identidad en Microsoft Entra ID. A continuación, puede asignar la identidad mediante su identificador de recursos.

Puede agregar varias identidades administradas asignadas por el usuario al recurso. Por ejemplo, si necesita acceder a varios recursos de Azure, puede conceder permisos diferentes a cada una de estas identidades.

Portal

1. Cree una identidad administrada asignada por el usuario siguiendo las instrucciones mencionadas en Creación de una identidad administrada asignada por el usuario.

   

2. En Azure Portal, vaya al recurso de prueba de carga de Azure.

3. Seleccione Identidad en el panel izquierdo.

4. Seleccione la pestaña Usuario asignado y seleccione Agregar.

5. Busque y seleccione la identidad administrada que creó anteriormente. A continuación, seleccione Agregar para agregarla al recurso de prueba de carga de Azure.

   

CLI de Azure

1. Cree una identidad asignada por el usuario.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Ejecute el az load update comando con --identity-type UserAssigned para agregar una identidad asignada por el usuario al recurso de prueba de carga:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Plantilla ARM

Puede crear un recurso de prueba de carga de Azure mediante una plantilla de ARM y el tipo de recurso Microsoft.LoadTestService/loadtests. Para más información sobre el uso de plantillas de ARM con Azure Load Testing, consulte la documentación de referencia de ARM de Azure Load Testing.

1. Cree una identidad administrada asignada por el usuario siguiendo las instrucciones mencionadas en Creación de una identidad administrada asignada por el usuario.

2. Especifique la identidad asignada por el usuario en la sección identity de la definición de recursos.

   Reemplace el marcador de posición de texto <RESOURCEID> por el identificador de recurso de la identidad asignada por el usuario:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   En el fragmento de código siguiente se muestra un ejemplo de una definición de recursos de ARM de Azure Load Testing con una identidad asignada por el usuario:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Una vez creado el recurso de Load Testing, Azure proporciona las propiedades principalId y clientId en la salida:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   La principalId es un identificador único para la identidad que se utiliza para la administración de Microsoft Entra. clientId es un identificador único de la nueva identidad del recurso que se usa para especificar qué identidad utilizar durante las llamadas en tiempo de ejecución.

Configurar recurso de destino

Es posible que tenga que configurar el recurso de destino para permitir el acceso desde el recurso de prueba de carga. Por ejemplo, si leer un secreto o certificado de Azure Key Vault, o si usar claves administradas por el cliente para el cifrado, también debe agregar una directiva de acceso que incluya la identidad administrada del recurso. De lo contrario, se rechazan las llamadas a Azure Key Vault, incluso si usa un token válido.

Contenido relacionado

• Usar secretos o certificados en la prueba de carga
• Configurar claves administradas por el cliente para el cifrado
• ¿Qué son las identidades administradas de recursos de Azure?