Felügyelt identitások használata Azure-beli virtuális gépekhez

  • 10 perc

Ön úgy dönt, hogy a készletnyilvántartó alkalmazást egy társított felügyelt identitással rendelkező virtuális gépen futtatja. Ez a beállítás lehetővé teszi, hogy az alkalmazás azure-kulcstartóval hitelesítse magát anélkül, hogy felhasználónevet és jelszót kellene tárolnia kódban.

Most, hogy a cég a helyszínről az Azure-ba migrálta a virtuális gépet, most már eltávolíthatja a nem változtatható hitelesítési adatokat az alkalmazás kódjából. A biztonságosabb felügyelt identitásjogkivonatot szeretné használni az Azure-erőforrások eléréséhez.

Ebben az egységben megtudhatja, hogyan kezelhetők az identitások az Azure-beli virtuális gépeken. Azt is megtudhatja, hogyan hoz nyújt biztonságosabb alkalmazáskörnyezetet az identitás az Azure Resource Managerrel.

Felügyelt identitás használata Azure-beli virtuális gépeken

Egy virtuális gépen egy felügyelt identitással több Azure-erőforráshoz is hozzáférhet anélkül, hogy hitelesítő adatokat kellene megadnia az alkalmazás kódjában. A felügyelt identitások lehetővé teszik az automatikus hitelesítést a háttérben. Az alkalmazás a lehető legkönnyebben használható és legbiztonságosabb marad.

A felügyelt identitásokat hozzárendelheti egy virtuális géphez a build létrehozása során vagy azt követően bármikor. Felügyelt identitást rendelhet egy meglévő virtuális géphez az Azure Portal, az Azure CLI vagy a PowerShell használatával.

Az előző leckében megismerkedett a rendszer által hozzárendelt felügyelt identitásokkal és a felhasználó által hozzárendelt felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitásokat a virtuális gép beállításainak Identitás szakaszában engedélyezheti. Ha így tesz, a következő történik:

  1. A virtuális gép egy felügyelt identitásra vonatkozó kérelmet küld.
  2. A Microsoft Entra ID-ban létrejön egy szolgáltatásnév a virtuális gép számára azon a bérlőn belül, amelyben az előfizetés megbízik.
  3. Az Azure Resource Manager frissíti az Azure Instance Metadata Service identitásvégpontját a szolgáltatásnév ügyfélazonosítójával és -tanúsítványával.
  4. A virtuális gép az új szolgáltatásnév adatai alapján kap hozzáférést Azure-erőforrásokhoz. Ha hozzáférést szeretne adni az alkalmazásnak a key vaulthoz, használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Microsoft Entra ID-ban. Rendelje hozzá a szükséges szerepkört a virtuális gép szolgáltatásnevéhez. Hozzárendelheti például az Olvasó vagy a Közreműködő szerepkört.
  5. A Rendszer meghívja a Microsoft Entra ID-t, hogy hozzáférési jogkivonatot kérjen az ügyfélazonosító és a tanúsítvány használatával.
  6. A Microsoft Entra ID JSON webes jogkivonat hozzáférési jogkivonatot ad vissza.

Amikor a konfiguráció befejeződik, nem kell más hitelesítő adatokat létrehoznia a Microsoft Entra-hitelesítést támogató Azure-ban üzemeltetett egyéb erőforrások eléréséhez.

Hozzáférés-vezérlés és hitelesítés

Az RBAC egy Azure Resource Managerre épülő engedélyezési rendszer. Használatával részletes hozzáférést biztosíthat az Azure-beli erőforrásokhoz.

Az engedélyeket a szerepköralapú hozzáférés hozza létre. A szerepköralapú hozzáférésnek három eleme van: a rendszerbiztonsági tag, a szerepkör-definíció és a hatókör.

Felügyelt identitás használata egy alkalmazásban

Egy olyan alkalmazás, amely egy Azure-erőforráson, például egy olyan virtuális gépen vagy függvényalkalmazásban fut, a felügyelt identitással végez hitelesítést más erőforrásokban és éri el azokat.

A hitelesítési és hozzáférési folyamat több, az Azure Instance Metadata Service-nek intézett kérésből áll:

  1. Ez a szolgáltatás érvényesíti az alkalmazáshoz társított identitást.
  2. Létrehoz egy erőforrás-hozzáférési jogkivonatot.
  3. Az alkalmazás elküldi a jogkivonatot annak az erőforrásnak, amelyhez hozzáférést igényel.
  4. A rendszer ezután hitelesíti a jogkivonatot.
  5. Ha a jogkivonat érvényes, az erőforrás ellenőrzi, hogy az a kérelem teljesítéséhez szükséges megfelelő engedélyezési jogokkal rendelkező identitást jelöl-e.
  6. Ha ez a teszt sikeres, az alkalmazás hozzáférhet az erőforráshoz.

Ha el szeretné kerülni az összetettség nagy részét, a kódban használhatja az AzureServiceTokenProvider API-t. Az AzureServiceTokenProvider objektum lekéri az alkalmazás résztvevő-azonosítóját, és létrehoz egy erőforrás-hozzáférési jogkivonatot. A GetAccessTokenAsync metódussal megadhatja az erőforrást, amelyhez a hozzáférési jogkivonatot létre szeretné hozni. Meg kell adnia annak a szolgáltatásnak az URI-ját, amelyben az erőforrás található.

Az alábbi C#-példa létrehoz egy jogkivonatot az Azure Storage-hoz.

AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
var token = await azureServiceTokenProvider.GetAccessTokenAsync("https://storage.azure.com/");

Más Azure Storage API-k ezen jogkivonat alapján végezhetnek hitelesítést és engedélyezhetik a hozzáférést.