Felügyelt identitások használata Azure-beli virtuális gépekhez
Ön úgy dönt, hogy a készletnyilvántartó alkalmazást egy társított felügyelt identitással rendelkező virtuális gépen futtatja. Ez a beállítás lehetővé teszi, hogy az alkalmazás azure-kulcstartóval hitelesítse magát anélkül, hogy felhasználónevet és jelszót kellene tárolnia kódban.
Most, hogy a cég a helyszínről az Azure-ba migrálta a virtuális gépet, most már eltávolíthatja a nem változtatható hitelesítési adatokat az alkalmazás kódjából. A biztonságosabb felügyelt identitásjogkivonatot szeretné használni az Azure-erőforrások eléréséhez.
Ebben az egységben megtudhatja, hogyan kezelhetők az identitások az Azure-beli virtuális gépeken. Azt is megtudhatja, hogyan hoz nyújt biztonságosabb alkalmazáskörnyezetet az identitás az Azure Resource Managerrel.
Felügyelt identitás használata Azure-beli virtuális gépeken
Egy virtuális gépen egy felügyelt identitással több Azure-erőforráshoz is hozzáférhet anélkül, hogy hitelesítő adatokat kellene megadnia az alkalmazás kódjában. A felügyelt identitások lehetővé teszik az automatikus hitelesítést a háttérben. Az alkalmazás a lehető legkönnyebben használható és legbiztonságosabb marad.
A felügyelt identitásokat hozzárendelheti egy virtuális géphez a build létrehozása során vagy azt követően bármikor. Felügyelt identitást rendelhet egy meglévő virtuális géphez az Azure Portal, az Azure CLI vagy a PowerShell használatával.
Az előző leckében megismerkedett a rendszer által hozzárendelt felügyelt identitásokkal és a felhasználó által hozzárendelt felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitásokat a virtuális gép beállításainak Identitás szakaszában engedélyezheti. Ha így tesz, a következő történik:
- A virtuális gép egy felügyelt identitásra vonatkozó kérelmet küld.
- A Microsoft Entra ID-ban létrejön egy szolgáltatásnév a virtuális gép számára azon a bérlőn belül, amelyben az előfizetés megbízik.
- Az Azure Resource Manager frissíti az Azure Instance Metadata Service identitásvégpontját a szolgáltatásnév ügyfélazonosítójával és -tanúsítványával.
- A virtuális gép az új szolgáltatásnév adatai alapján kap hozzáférést Azure-erőforrásokhoz. Ha hozzáférést szeretne adni az alkalmazásnak a key vaulthoz, használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Microsoft Entra ID-ban. Rendelje hozzá a szükséges szerepkört a virtuális gép szolgáltatásnevéhez. Hozzárendelheti például az Olvasó vagy a Közreműködő szerepkört.
- A Rendszer meghívja a Microsoft Entra ID-t, hogy hozzáférési jogkivonatot kérjen az ügyfélazonosító és a tanúsítvány használatával.
- A Microsoft Entra ID JSON webes jogkivonat hozzáférési jogkivonatot ad vissza.
Amikor a konfiguráció befejeződik, nem kell más hitelesítő adatokat létrehoznia a Microsoft Entra-hitelesítést támogató Azure-ban üzemeltetett egyéb erőforrások eléréséhez.
Hozzáférés-vezérlés és hitelesítés
Az RBAC egy Azure Resource Managerre épülő engedélyezési rendszer. Használatával részletes hozzáférést biztosíthat az Azure-beli erőforrásokhoz.
Az engedélyeket a szerepköralapú hozzáférés hozza létre. A szerepköralapú hozzáférésnek három eleme van: a rendszerbiztonsági tag, a szerepkör-definíció és a hatókör.
Felügyelt identitás használata egy alkalmazásban
Egy olyan alkalmazás, amely egy Azure-erőforráson, például egy olyan virtuális gépen vagy függvényalkalmazásban fut, a felügyelt identitással végez hitelesítést más erőforrásokban és éri el azokat.
A hitelesítési és hozzáférési folyamat több, az Azure Instance Metadata Service-nek intézett kérésből áll:
- Ez a szolgáltatás érvényesíti az alkalmazáshoz társított identitást.
- Létrehoz egy erőforrás-hozzáférési jogkivonatot.
- Az alkalmazás elküldi a jogkivonatot annak az erőforrásnak, amelyhez hozzáférést igényel.
- A rendszer ezután hitelesíti a jogkivonatot.
- Ha a jogkivonat érvényes, az erőforrás ellenőrzi, hogy az a kérelem teljesítéséhez szükséges megfelelő engedélyezési jogokkal rendelkező identitást jelöl-e.
- Ha ez a teszt sikeres, az alkalmazás hozzáférhet az erőforráshoz.
Ha el szeretné kerülni az összetettség nagy részét, a kódban használhatja az AzureServiceTokenProvider
API-t. Az AzureServiceTokenProvider
objektum lekéri az alkalmazás résztvevő-azonosítóját, és létrehoz egy erőforrás-hozzáférési jogkivonatot. A GetAccessTokenAsync
metódussal megadhatja az erőforrást, amelyhez a hozzáférési jogkivonatot létre szeretné hozni. Meg kell adnia annak a szolgáltatásnak az URI-ját, amelyben az erőforrás található.
Az alábbi C#-példa létrehoz egy jogkivonatot az Azure Storage-hoz.
AzureServiceTokenProvider azureServiceTokenProvider = new AzureServiceTokenProvider();
var token = await azureServiceTokenProvider.GetAccessTokenAsync("https://storage.azure.com/");
Más Azure Storage API-k ezen jogkivonat alapján végezhetnek hitelesítést és engedélyezhetik a hozzáférést.