Mik az Azure-erőforrások felügyelt identitásai?
A fejlesztők számára gyakori kihívás a titkos kódok, a hitelesítő adatok, a tanúsítványok és a szolgáltatások közötti kommunikáció biztonságossá tételéhez használt kulcsok kezelése. A felügyelt identitások nem igénylik, hogy a fejlesztők felügyeljék ezeket a hitelesítő adatokat.
Bár a fejlesztők biztonságosan tárolhatják a titkos kulcsokat az Azure Key Vaultban, a szolgáltatásoknak módot kell biztosítaniuk az Azure Key Vault elérésére. A felügyelt identitások automatikusan felügyelt identitást biztosítanak a Microsoft Entra-azonosítóban az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Az alkalmazások felügyelt identitásokkal szerezhetik be a Microsoft Entra-jogkivonatokat anélkül, hogy hitelesítő adatokat kellene kezelni.
Az alábbi videó bemutatja, hogyan használhat felügyelt identitásokat:
A felügyelt identitások használatának néhány előnye:
- Nem kell hitelesítő adatokat kezelnie. A hitelesítő adatok még csak nem is érhetők el.
- Felügyelt identitásokkal hitelesítheti magát minden olyan erőforráson, amely támogatja a Microsoft Entra-hitelesítést, beleértve a saját alkalmazásait is.
- A felügyelt identitások további költségek nélkül használhatók.
Jegyzet
Az Azure-erőforrások felügyelt identitásai a korábban felügyeltszolgáltatás-identitásként (MSI) ismert szolgáltatás új neve.
Felügyelt identitástípusok
A felügyelt identitások kétféleképpen használhatók:
Rendszer által hozzárendelt. Egyes Azure-erőforrások, például a virtuális gépek lehetővé teszik a felügyelt identitások közvetlen engedélyezését az erőforráson. Rendszer által hozzárendelt felügyelt identitás engedélyezésekor:
- Az identitáshoz egy speciális típusú szolgáltatásnév jön létre a Microsoft Entra-azonosítóban. A szolgáltatásnév az Adott Azure-erőforrás életciklusához van kötve. Az Azure-erőforrás törlésekor az Azure automatikusan törli Önnek a szolgáltatásnevet.
- Terv szerint csak az Azure-erőforrás használhatja ezt az identitást, hogy jogkivonatokat kérjen a Microsoft Entra-azonosítótól.
- Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.
- A rendszer által hozzárendelt szolgáltatásnév neve mindig megegyezik a létrehozott Azure-erőforrás nevével. Üzembehelyezési pont esetén a rendszer által hozzárendelt identitás neve .
<app-name>/slots/<slot-name>
Felhasználó által hozzárendelt. Felügyelt identitást önálló Azure-erőforrásként is létrehozhat. Létrehozhat egy felhasználó által hozzárendelt felügyelt identitást, és hozzárendelheti egy vagy több Azure-erőforráshoz. Ha engedélyezi a felhasználó által hozzárendelt felügyelt identitást:
- Az identitáshoz egy speciális típusú szolgáltatásnév jön létre a Microsoft Entra-azonosítóban. A szolgáltatásnév kezelése külön történik az azt használó erőforrásoktól.
- A felhasználó által hozzárendelt identitásokat több erőforrás is használhatja.
- Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.
Az alábbi táblázat a felügyelt identitások két típusa közötti különbségeket mutatja be:
| Ingatlan | Rendszer által hozzárendelt felügyelt identitás | Felhasználó által hozzárendelt felügyelt identitás |
|---|---|---|
| Alkotás | Azure-erőforrás részeként (például Azure Virtual Machines vagy Azure-alkalmazás Service) jön létre. | Önálló Azure-erőforrásként létrehozva. |
| Életciklus | Megosztott életciklus azzal az Azure-erőforrással, amellyel a felügyelt identitás létrejön. A szülőerőforrás törlésekor a felügyelt identitás is törlődik. |
Független életciklus. Kifejezetten törölni kell. |
| Megosztás Azure-erőforrások között | Nem osztható meg. Csak egyetlen Azure-erőforráshoz társítható. |
Megosztható. Ugyanaz a felhasználó által hozzárendelt felügyelt identitás több Azure-erőforráshoz is társítható. |
| Gyakori használati esetek | Egyetlen Azure-erőforrásban található számítási feladatok. Független identitásokat igénylő számítási feladatok. Például egy olyan alkalmazás, amely egyetlen virtuális gépen fut. |
Több erőforráson futó számítási feladatok, amelyek egyetlen identitást oszthatnak meg. Olyan számítási feladatok, amelyekre előzetes engedélyezésre van szükség egy biztonságos erőforráshoz egy kiépítési folyamat részeként. Olyan számítási feladatok, amelyekben az erőforrásokat gyakran újrahasznosítják, de az engedélyeknek konzisztensnek kell maradniuk. Például egy olyan számítási feladat, amelyben több virtuális gépnek is hozzá kell férnie ugyanahhoz az erőforráshoz. |
Hogyan használhatom a felügyelt identitásokat az Azure-erőforrásokhoz?
A felügyelt identitásokat az alábbi lépések végrehajtásával használhatja:
- Felügyelt identitás létrehozása az Azure-ban. Választhat a rendszer által hozzárendelt felügyelt identitás vagy a felhasználó által hozzárendelt felügyelt identitás között.
- Felhasználó által hozzárendelt felügyelt identitás használatakor hozzárendeli a felügyelt identitást a "forrás" Azure-erőforráshoz, például egy virtuális géphez, az Azure Logic Apphoz vagy egy Azure-webalkalmazáshoz.
- Engedélyezze a felügyelt identitásnak, hogy hozzáférjen a "cél" szolgáltatáshoz.
- A felügyelt identitás használatával érhet el egy erőforrást. Ebben a lépésben az Azure SDK-t használhatja az Azure.Identity könyvtárral. Egyes "forrás" erőforrások olyan összekötőket kínálnak, amelyek tudják, hogyan használhatók a felügyelt identitások a kapcsolatokhoz. Ebben az esetben az identitást használja az adott "forrás" erőforrás funkciójaként.
Milyen Azure-szolgáltatások támogatják a funkciót?
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítésére használhatók. A támogatott Azure-szolgáltatások listájáért tekintse meg az Azure-erőforrások felügyelt identitásait támogató szolgáltatásokat.
Milyen műveleteket végezhetek a felügyelt identitásokon?
A rendszer által hozzárendelt felügyelt identitásokat támogató erőforrások lehetővé teszik a következőt:
- Felügyelt identitások engedélyezése vagy letiltása az erőforrás szintjén.
- Engedélyek megadásához használja a szerepköralapú hozzáférés-vezérlést (RBAC).
- Tekintse meg a létrehozási, olvasási, frissítési és törlési (CRUD) műveleteket az Azure-tevékenységnaplókban.
- Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.
Ha ehelyett egy felhasználó által hozzárendelt felügyelt identitást választ:
- Létrehozhatja, elolvashatja, frissítheti és törölheti az identitásokat.
- Az RBAC-szerepkör-hozzárendelésekkel engedélyeket adhat meg.
- A felhasználó által hozzárendelt felügyelt identitások több erőforráson is használhatók.
- A CRUD-műveletek megtekinthetők az Azure-tevékenységnaplókban.
- Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.
A felügyelt identitásokon végzett műveletek egy Azure Resource Manager-sablon, az Azure Portal, az Azure CLI, a PowerShell és a REST API-k használatával végezhetők el.
Következő lépések
- Fejlesztői bevezetés és irányelvek
- Virtuális gép rendszer által hozzárendelt felügyelt identitásának használata a Resource Manager eléréséhez
- Felügyelt identitások használata az App Service-hez és az Azure Functionshez
- Felügyelt identitások használata az Azure Container Instances használatával
- Felügyelt identitások implementálása a Microsoft Azure-erőforrásokhoz
- Számítási feladatok identitás-összevonásának használata felügyelt identitásokhoz a Microsoft Entra által védett erőforrások titkos kulcsok kezelése nélkül való eléréséhez