Bagikan melalui

Mengonfigurasi identitas terkelola untuk pusat pengembangan

  • Artikel

Panduan ini menjelaskan cara menambahkan dan mengonfigurasi identitas terkelola untuk pusat pengembangan Azure Deployment Environments Anda untuk mengaktifkan penyebaran yang aman bagi tim pengembangan.

Lingkungan Penyebaran Azure menggunakan identitas terkelola untuk memberikan kemampuan penyebaran layanan mandiri kepada tim pengembangan tanpa memberi mereka akses ke langganan tempat sumber daya Azure dibuat. Identitas terkelola menambahkan kemampuan hak istimewa yang ditingkatkan dan mengamankan autentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Entra.

Identitas terkelola yang dilampirkan ke pusat pengembangan harus diberi peran Kontributor dan peran Administrator Akses Pengguna dalam langganan penyebaran untuk setiap jenis lingkungan. Saat penyebaran lingkungan diminta, layanan memberikan izin yang sesuai ke identitas penyebaran yang disiapkan untuk jenis lingkungan untuk disebarkan atas nama pengguna. Identitas terkelola yang dilampirkan ke pusat pengembangan juga digunakan untuk menambahkan ke katalog dan mengakses definisi lingkungan dalam katalog.

Menambahkan identitas terkelola

Di Lingkungan Penyebaran Azure, Anda dapat memilih antara dua jenis identitas terkelola:

  • Identitas yang ditetapkan sistem: Identitas yang ditetapkan sistem terikat baik ke pusat pengembangan Anda atau ke jenis lingkungan proyek. Identitas yang ditetapkan sistem dihapus saat sumber daya terlampir dihapus. Pusat pengembangan atau jenis lingkungan proyek hanya dapat memiliki satu identitas yang ditetapkan sistem.
  • Identitas yang ditetapkan pengguna: Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat Anda tetapkan ke pusat pengembangan Anda atau ke jenis lingkungan proyek. Untuk Lingkungan Penyebaran Azure, pusat pengembangan atau jenis lingkungan proyek hanya dapat memiliki satu identitas yang ditetapkan pengguna.

Sebagai praktik terbaik keamanan, jika Anda memilih untuk menggunakan identitas yang ditetapkan pengguna, gunakan identitas yang berbeda untuk proyek Anda dan untuk pusat pengembangan Anda. Identitas proyek harus memiliki akses yang lebih terbatas ke sumber daya dibandingkan dengan pusat pengembangan.

Catatan

Di Lingkungan Penyebaran Azure, jika Anda menambahkan identitas yang ditetapkan sistem dan identitas yang ditetapkan pengguna, hanya identitas yang ditetapkan pengguna yang digunakan.

Menambahkan identitas terkelola yang ditetapkan sistem

  1. Masuk ke portal Azure dan buka Lingkungan Penyebaran Azure.

  2. Di pusat Dev, pilih pusat pengembangan Anda.

  3. Di menu sebelah kiri di bawah Pengaturan, pilih Identitas.

  4. Di bawah Sistem yang ditetapkan, atur Status ke Aktif.

  5. Pilih Simpan.

    Screenshot that shows the system-assigned managed identity.

  6. Dalam dialog Aktifkan identitas terkelola yang ditetapkan sistem, pilih Ya.

Tambahkan identitas terkelola yang ditetapkan pengguna

  1. Masuk ke portal Azure dan buka Lingkungan Penyebaran Azure.

  2. Di pusat Dev, pilih pusat pengembangan Anda.

  3. Di menu sebelah kiri di bawah Pengaturan, pilih Identitas.

  4. Di bawah Pengguna yang ditetapkan, pilih Tambahkan untuk melampirkan identitas yang sudah ada.

    Screenshot that shows the user-assigned managed identity.

  5. Pada Tambahkan identitas terkelola yang ditetapkan pengguna, masukkan atau pilih informasi berikut:

    1. Pada Langganan, pilih langganan tempat identitas berada.
    2. Pada Identitas terkelola yang ditetapkan pengguna, pilih identitas yang ada.
    3. Pilih Tambahkan.

Menetapkan penetapan peran langganan

Identitas yang dilampirkan ke pusat pengembangan harus diberi peran Kontributor dan Administrator Akses Pengguna untuk semua langganan penyebaran dan peran Pembaca untuk semua langganan yang berisi proyek yang relevan. Saat pengguna membuat atau menyebarkan lingkungan, layanan memberikan akses yang sesuai ke identitas penyebaran yang dilampirkan ke jenis lingkungan proyek. Identitas penyebaran menggunakan akses untuk melakukan penyebaran atas nama pengguna. Anda dapat menggunakan identitas terkelola untuk memberdayakan pengembang untuk membuat lingkungan tanpa memberi mereka akses ke langganan.

Menambahkan penetapan peran ke identitas terkelola yang ditetapkan sistem

  1. Di portal Azure, navigasikan ke pusat pengembangan Anda di Lingkungan Penyebaran Azure.

  2. Di menu sebelah kiri di bawah Pengaturan, pilih Identitas.

  3. Di bawah Izin yang>ditetapkan sistem, pilih Penetapan peran Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Untuk memberi Kontributor akses ke langganan, pilih Tambahkan penetapan peran (Pratinjau), masukkan atau pilih informasi berikut, lalu pilih Simpan:

    Nama Nilai
    Cakupan Langganan
    Langganan Pilih langganan untuk menggunakan identitas terkelola.
    Peran Kontributor

  5. Untuk memberi Administrator Akses Pengguna akses ke langganan, pilih Tambahkan penetapan peran (Pratinjau), masukkan atau pilih informasi berikut, lalu pilih Simpan:

    Nama Nilai
    Cakupan Langganan
    Langganan Pilih langganan untuk menggunakan identitas terkelola.
    Peran Akses Administrator Pengguna

Menambahkan penetapan peran ke identitas terkelola yang ditetapkan pengguna

  1. Di portal Azure, navigasikan ke pusat pengembangan Anda.

  2. Di menu sebelah kiri di bawah Pengaturan, pilih Identitas.

  3. Di bawah Pengguna yang ditetapkan, pilih identitas.

  4. Di menu sebelah kiri, pilih Penetapan peran Azure.

  5. Untuk memberi Kontributor akses ke langganan, pilih Tambahkan penetapan peran (Pratinjau), masukkan atau pilih informasi berikut, lalu pilih Simpan:

    Nama Nilai
    Cakupan Langganan
    Langganan Pilih langganan untuk menggunakan identitas terkelola.
    Peran Kontributor

  6. Untuk memberi Administrator Akses Pengguna akses ke langganan, pilih Tambahkan penetapan peran (Pratinjau), masukkan atau pilih informasi berikut, lalu pilih Simpan:

    Nama Nilai
    Cakupan Langganan
    Langganan Pilih langganan untuk menggunakan identitas terkelola.
    Peran Akses Administrator Pengguna

Memberikan akses identitas terkelola ke rahasia brankas kunci

Anda dapat menyiapkan brankas kunci untuk menggunakan kebijakan akses brankas kunci atau kontrol akses berbasis peran Azure.

Catatan

Sebelum dapat menambahkan repositori sebagai katalog, Anda harus memberikan akses identitas terkelola ke rahasia brankas kunci yang berisi token akses pribadi repositori.

Kebijakan akses brankas kunci

Jika brankas kunci dikonfigurasi untuk menggunakan kebijakan akses brankas kunci:

  1. Di portal Azure, buka brankas kunci yang berisi rahasia dengan token akses pribadi.

  2. Di menu sebelah kiri, pilih Kebijakan akses, lalu pilih Buat.

  3. Pada Buat kebijakan akses, masukkan atau pilih informasi berikut:

    1. Pada tab Izin , di bawah Izin rahasia, pilih kotak centang Dapatkan , lalu pilih Berikutnya.
    2. Pada tab Utama , pilih identitas yang dilampirkan ke pusat pengembangan.
    3. Pilih Tinjau + buat, lalu pilih Buat.

Kontrol akses berbasis peran Azure

Jika brankas kunci dikonfigurasi untuk menggunakan kontrol akses berbasis peran Azure:

  1. Di portal Azure, buka brankas kunci yang berisi rahasia dengan token akses pribadi.

  2. Di menu sebelah kiri, pilih Kontrol akses (IAM).

  3. Pilih identitas, dan di menu sebelah kiri, pilih Penetapan peran Azure.

  4. Pilih Tambahkan penetapan peran, lalu masukkan atau pilih informasi berikut:

    1. Untuk Cakupan, pilih brankas kunci.
    2. Untuk Langganan, pilih langganan yang berisi brankas kunci.
    3. Untuk Sumber Daya, pilih brankas kunci.
    4. Untuk Peran, pilih Pengguna Rahasia Key Vault.
    5. Pilih Simpan.

Konten terkait