Configurare un'identità gestita per un dev center

  • Articolo

Questa guida illustra come aggiungere e configurare un'identità gestita per il dev center ambienti di distribuzione di Azure per abilitare la distribuzione sicura per i team di sviluppo.

Gli ambienti di distribuzione di Azure usano identità gestite per offrire ai team di sviluppo funzionalità di distribuzione self-service senza concedere loro l'accesso alle sottoscrizioni in cui vengono create le risorse di Azure. Un'identità gestita aggiunge funzionalità con privilegi elevati e autenticazione sicura a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra.

All'identità gestita associata a un dev center devono essere assegnati sia il ruolo Collaboratore che il ruolo Accesso utenti Amministrazione istrator nelle sottoscrizioni di distribuzione per ogni tipo di ambiente. Quando viene richiesta una distribuzione dell'ambiente, il servizio concede le autorizzazioni appropriate alle identità di distribuzione configurate per il tipo di ambiente da distribuire per conto dell'utente. L'identità gestita associata a un dev center viene usata anche per aggiungere a un catalogo e accedere alle definizioni di ambiente nel catalogo.

Aggiungere un'identità gestita

In Ambienti di distribuzione di Azure è possibile scegliere tra due tipi di identità gestite:

  • Identità assegnata dal sistema: un'identità assegnata dal sistema è associata al dev center o al tipo di ambiente del progetto. Un'identità assegnata dal sistema viene eliminata quando la risorsa associata viene eliminata. Un dev center o un tipo di ambiente di progetto può avere una sola identità assegnata dal sistema.
  • Identità assegnata dall'utente: un'identità assegnata dall'utente è una risorsa di Azure autonoma che è possibile assegnare al dev center o a un tipo di ambiente di progetto. Per gli ambienti di distribuzione di Azure, un dev center o un tipo di ambiente di progetto può avere una sola identità assegnata dall'utente.

Come procedura consigliata per la sicurezza, se si sceglie di usare le identità assegnate dall'utente, usare identità diverse per il progetto e per il dev center. Le identità del progetto devono avere accesso più limitato alle risorse rispetto a un dev center.

Nota

Negli ambienti di distribuzione di Azure, se si aggiungono sia un'identità assegnata dal sistema che un'identità assegnata dall'utente, viene usata solo l'identità assegnata dall'utente.

Aggiungere un'identità gestita assegnata dal sistema

  1. Accedere al portale di Azure e passare ad Ambienti di distribuzione di Azure.

  2. In Dev Center selezionare il dev center.

  3. Nel menu a sinistra in Impostazioni selezionare Identità.

  4. In Assegnata dal sistema impostare Stato su Attiva.

  5. Seleziona Salva.

    Screenshot that shows the system-assigned managed identity.

  6. Nella finestra di dialogo Abilita identità gestita assegnata dal sistema selezionare .

Aggiungere un'identità gestita assegnata dall'utente

  1. Accedere al portale di Azure e passare ad Ambienti di distribuzione di Azure.

  2. In Dev Center selezionare il dev center.

  3. Nel menu a sinistra in Impostazioni selezionare Identità.

  4. In Assegnata dall'utente selezionare Aggiungi per collegare un'identità esistente.

    Screenshot that shows the user-assigned managed identity.

  5. In Aggiungi identità gestita assegnata dall'utente immettere o selezionare le informazioni seguenti:

    1. In Sottoscrizione selezionare la sottoscrizione in cui esiste l'identità.
    2. In Identità gestite assegnate dall'utente selezionare un'identità esistente.
    3. Seleziona Aggiungi.

Assegnare un'assegnazione di ruolo della sottoscrizione

All'identità associata al Dev Center devono essere assegnati i ruoli Collaboratore e Accesso utenti Amministrazione istrator per tutte le sottoscrizioni di distribuzione e il ruolo Lettore per tutte le sottoscrizioni che contengono il progetto pertinente. Quando un utente crea o distribuisce un ambiente, il servizio concede l'accesso appropriato all'identità di distribuzione collegata al tipo di ambiente del progetto. L'identità di distribuzione usa l'accesso per eseguire distribuzioni per conto dell'utente. È possibile usare l'identità gestita per consentire agli sviluppatori di creare ambienti senza concedere loro l'accesso alla sottoscrizione.

Aggiungere un'assegnazione di ruolo a un'identità gestita assegnata dal sistema

  1. Nella portale di Azure passare al dev center in Ambienti di distribuzione di Azure.

  2. Nel menu a sinistra in Impostazioni selezionare Identità.

  3. In Autorizzazioni assegnate>dal sistema selezionare Assegnazioni di ruolo di Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Per concedere l'accesso collaboratore alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name valore
    Scope Abbonamento
    Abbonamento Selezionare la sottoscrizione in cui usare l'identità gestita.
    Ruolo Collaboratore

  5. Per concedere all'utente l'accesso Amministrazione istrator alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name valore
    Scope Abbonamento
    Abbonamento Selezionare la sottoscrizione in cui usare l'identità gestita.
    Ruolo Amministratore accessi utente

Aggiungere un'assegnazione di ruolo a un'identità gestita assegnata dall'utente

  1. Nel portale di Azure passare al dev center.

  2. Nel menu a sinistra in Impostazioni selezionare Identità.

  3. In Assegnata dall'utente selezionare l'identità.

  4. Nel menu a sinistra selezionare Assegnazioni di ruolo di Azure.

  5. Per concedere l'accesso collaboratore alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name valore
    Scope Abbonamento
    Abbonamento Selezionare la sottoscrizione in cui usare l'identità gestita.
    Ruolo Collaboratore

  6. Per concedere all'utente l'accesso Amministrazione istrator alla sottoscrizione, selezionare Aggiungi assegnazione di ruolo (anteprima), immettere o selezionare le informazioni seguenti e quindi selezionare Salva:

    Name valore
    Scope Abbonamento
    Abbonamento Selezionare la sottoscrizione in cui usare l'identità gestita.
    Ruolo Amministratore accessi utente

Concedere all'identità gestita l'accesso al segreto dell'insieme di credenziali delle chiavi

È possibile configurare l'insieme di credenziali delle chiavi per usare un criterio di accesso dell'insieme di credenziali delle chiavi o il controllo degli accessi in base al ruolo di Azure.

Nota

Prima di poter aggiungere un repository come catalogo, è necessario concedere all'identità gestita l'accesso al segreto dell'insieme di credenziali delle chiavi che contiene il token di accesso personale del repository.

Criteri di accesso dell'insieme di credenziali delle chiavi

Se l'insieme di credenziali delle chiavi è configurato per l'uso di un criterio di accesso dell'insieme di credenziali delle chiavi:

  1. Nella portale di Azure passare all'insieme di credenziali delle chiavi che contiene il segreto con il token di accesso personale.

  2. Nel menu a sinistra selezionare Criteri di accesso e quindi selezionare Crea.

  3. In Crea un criterio di accesso immettere o selezionare le informazioni seguenti:

    1. Nella scheda Autorizzazioni, in Autorizzazioni segrete, selezionare la casella di controllo Recupera e quindi selezionare Avanti.
    2. Nella scheda Entità selezionare l'identità associata al dev center.
    3. Seleziona Rivedi e crea e quindi seleziona Crea.

Controllo dell'accesso basato sui ruoli di Azure

Se l'insieme di credenziali delle chiavi è configurato per l'uso del controllo degli accessi in base al ruolo di Azure:

  1. Nella portale di Azure passare all'insieme di credenziali delle chiavi che contiene il segreto con il token di accesso personale.

  2. Nel menu a sinistra selezionare Controllo di accesso (IAM).

  3. Selezionare l'identità e nel menu a sinistra selezionare Assegnazioni di ruolo di Azure.

  4. Selezionare Aggiungi assegnazione di ruolo e quindi immettere o selezionare le informazioni seguenti:

    1. In Ambito selezionare l'insieme di credenziali delle chiavi.
    2. Per Sottoscrizione selezionare la sottoscrizione che contiene l'insieme di credenziali delle chiavi.
    3. In Risorsa selezionare l'insieme di credenziali delle chiavi.
    4. Per Ruolo selezionare Key Vault Secrets User (Utente segreti dell'insieme di credenziali delle chiavi).
    5. Seleziona Salva.

Contenuto correlato