Usare un'identità gestita in Gestione flotta Kubernetes di Azure

Gestione flotta Kubernetes di Azure usa un'identità Microsoft Entra per accedere a risorse di Azure come le reti virtuali di Azure o per gestire attività in background a esecuzione prolungata, ad esempio l'aggiornamento automatico multi-cluster.

È possibile usare un'identità gestita per autorizzare l'accesso da un fleet manager a qualsiasi servizio che supporti l'autorizzazione di Microsoft Entra, senza dover gestire le credenziali o includerle nel codice. Si assegna un ruolo di controllo degli accessi in base al ruolo di Azure all'identità gestita per concederle le autorizzazioni a una particolare risorsa in Azure. Per ulteriori informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Questo articolo illustra come abilitare i tipi di identità gestita seguenti in un'istanza di Gestione flotta Kubernetes di Azure nuova o esistente:

• Identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è associata a una singola risorsa di Azure, ad esempio un fleet manager. Esiste solo per il ciclo di vita del fleet manager.
• Identità gestita assegnata dall'utente. Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma che può essere usata da un fleet manager per autorizzare l'accesso ad altri servizi di Azure. Viene mantenuta separatamente dal fleet manager e può essere usata da più risorse di Azure.

Per altre informazioni sulle identità gestite, vedere Identità gestite per le risorse di Azure.

Prima di iniziare

Se si intende usare l'interfaccia della riga di comando di Azure, assicurarsi che sia installata la versione dell'interfaccia della riga di comando di Azure versione 2.75.0 o successiva. Per trovare la versione, eseguire az --version. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure.

Prima di eseguire gli esempi dell'interfaccia della riga di comando di Azure in questo articolo, impostare l'abbonamento come abbonamento attivo corrente chiamando il comando az account set e passando l'ID abbonamento.

az account set --subscription <subscription-id>

Creare anche un gruppo di risorse di Azure se non ne è già disponibile uno chiamando il comando az group create.

az group create \
    --name myResourceGroup \
    --location westus2

Abilitare un'identità gestita assegnata dal sistema

Un'identità gestita assegnata dal sistema è un'identità associata a un fleet manager o a un'altra risorsa di Azure. L'identità gestita assegnata dal sistema è associata al ciclo di vita del fleet manager. Quando viene eliminato il fleet manager, viene eliminata anche l'identità gestita assegnata dal sistema.

Il fleet manager può usare l'identità gestita assegnata dal sistema per autorizzare l'accesso ad altre risorse in esecuzione in Azure ed eseguire processi in background a esecuzione prolungata. È possibile assegnare un ruolo Controllo degli accessi in base al ruolo di Azure all'identità gestita assegnata dal sistema per concedere al fleet manager le autorizzazioni per accedere a risorse specifiche. Ad esempio, se il fleet manager deve gestire le risorse di rete, è possibile assegnare all'identità gestita assegnata dal sistema un ruolo Controllo degli accessi in base al ruolo di Azure che concede tali autorizzazioni.

Abilitare un'identità gestita assegnata dal sistema in un nuovo fleet manager

Portale di Azure

Quando si crea un nuovo fleet manager nel portale di Azure, viene creata automaticamente un'identità gestita assegnata dal sistema.

È possibile verificare che l'identità gestita assegnata dal sistema sia abilitata controllando il pannello Identità nella sezione Impostazioni del fleet manager. Lo stato è Attivato e l'ID oggetto (entità di sicurezza) viene popolato (non mostrato nell'immagine).

Interfaccia della riga di comando di Azure

Creare un fleet manager usando il comando az fleet create, passando il parametro --enable-managed-identity per abilitare l'identità gestita assegnata dal sistema.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

L'output del comando indica che il tipo di identità è SystemAssigned e include l'ID entità di sicurezza e il tenant.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Aggiornare un fleet manager esistente per usare un'identità gestita assegnata dal sistema

Portale di Azure

È possibile gestire l'identità gestita del fleet manager usando il pannello Identità nella sezione Impostazioni del fleet manager.

1. Abilitare l'identità gestita assegnata dal sistema impostando lo stato Assegnato dal sistema su Attivato e selezionando Salva.

   

2. Selezionare Sì nella finestra di dialogo di conferma.

3. Dopo alcuni istanti, lo Stato diventa Attivato e l'ID oggetto (entità di sicurezza) viene popolato (non mostrato nell'immagine).

   

Interfaccia della riga di comando di Azure

Per aggiornare un fleet eanager esistente per usare un'identità gestita assegnata dal sistema, eseguire il comando az fleet update con il parametro --enable-managed-identity impostato su true.

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

L'output del comando indica che il tipo di identità è SystemAssigned e include l'ID entità di sicurezza e il tenant.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Aggiungere un'assegnazione di ruolo per un'identità gestita assegnata dal sistema

È possibile assegnare un ruolo Controllo degli accessi in base al ruolo di Azure all'identità gestita assegnata dal sistema per concedere al fleet manager le autorizzazioni in un'altra risorsa di Azure. Azure RBAC supporta sia le definizioni di ruolo predefinite sia quelle personalizzate che definiscono i livelli di autorizzazione. Per ulteriori informazioni sull'assegnazione dei ruoli di Azure RBAC, vedere Passaggi per assegnare un ruolo di Azure.

Quando si assegna un ruolo RBAC di Azure a un'identità gestita, è necessario definire l'ambito del ruolo. In generale, è consigliabile limitare l'ambito di un ruolo ai privilegi minimi richiesti dall'identità gestita. Per altre informazioni sull'ambito dei ruoli controllo degli accessi in base al ruolo di Azure, vedere Comprendere l'ambito per il controllo degli accessi in base al ruolo di Azure.

Annotazioni

La propagazione delle autorizzazioni concesse all'identità gestita del fleet manager può richiedere fino a 60 minuti.

Portale di Azure

1. Selezionare la scheda Assegnazioni di ruolo di Azure nel pannello Identità del fleet manager. Verrà visualizzato il riquadro Assegnazioni di ruolo di Azure.

   

2. Selezionare Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo e immettere:

   • Ambito: selezionare Gruppo di risorse.

   • Abbonamento: scegliere l'abbonamento di Azure contenente il gruppo di risorse che si vuole usare.

   • Gruppo di risorse: selezionare il gruppo di risorse.

   • Ruolo: scegliere il ruolo da assegnare all'identità gestita assegnata dal sistema del fleet manager, ad esempio Collaboratore rete.

     

3. Selezionare Salva per assegnare il ruolo all'identità gestita assegnata dal sistema del fleet manager.

Interfaccia della riga di comando di Azure

1. Ottenere l'ID principale dell'identità gestita assegnata dal sistema

   Per assegnare un ruolo Controllo degli accessi in base al ruolo di Azure all'identità gestita assegnata dal sistema di un fleet manager, è necessario prima di tutto l'ID entità di sicurezza per l'identità gestita. Ottenere l'ID entità di sicurezza per l'identità gestita assegnata dal sistema del fleet manager chiamando il comando az fleet show.

   # Get the principal ID for a system-assigned managed identity.
   CLIENT_ID=$(az fleet show \
       --name myFleetName \
       --resource-group myResourceGroup \
       --query identity.principalId \
       --output tsv)
   

2. Assegnare un ruolo controllo degli accessi in base al ruolo di Azure all'identità gestita assegnata dal sistema

   Per concedere un'autorizzazione di identità gestita assegnata dal sistema a una risorsa in Azure, chiamare il comando az role assignment create per assegnare un ruolo Controllo degli accessi in base al ruolo di Azure all'identità gestita.

   Ad esempio, assegnare il ruolo Network Contributor nel gruppo di risorse personalizzato usando il comando az role assignment create. Per il parametro --scope, specificare l'ID risorsa per il gruppo di risorse per il fleet manager.

   az role assignment create \
       --assignee $CLIENT_ID \
       --role "Network Contributor" \
       --scope "<fleet-manager-resource-group-id>"
   

Abilitare un'identità gestita assegnata dall'utente

Un'identità gestita assegnata dall'utente è una risorsa di Azure autonoma. Quando si crea un fleet manager con un'identità gestita assegnata dall'utente, la risorsa di identità gestita assegnata dall'utente deve esistere prima della creazione del fleet manager.

Creare un'identità gestita assegnata dall'utente

Se non si ha ancora una risorsa di identità gestita assegnata dall'utente, crearne una usando il portale di Azure o l'interfaccia della riga di comando di Azure.

Portale di Azure

Seguire i passaggi riportati nella documentazione per creare un'identità gestita assegnata dall'utente.

Interfaccia della riga di comando di Azure

1. Creare un'identità gestita assegnata dall'utente.

   Se non si ha ancora una risorsa di identità gestita assegnata dall'utente, crearne una usando il comando az identity create.

   az identity create \
       --name myIdentity \
       --resource-group myResourceGroup
   

   L'output dovrebbe essere simile all'output di esempio seguente:

   {                                  
     "clientId": "<client-id>",
     "clientSecretUrl": "<clientSecretUrl>",
     "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
     "location": "westus2",
     "name": "myIdentity",
     "principalId": "<principal-id>",
     "resourceGroup": "myResourceGroup",                       
     "tags": {},
     "tenantId": "<tenant-id>",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Ottenere l'ID principale dell'identità gestita assegnata dall'utente

   Per ottenere l'ID principale dell'identità gestita assegnata all'utente, chiamare az identity show ed eseguire una query sulla principalId proprietà:

   CLIENT_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query principalId \
       --output tsv)
   

3. Ottenere l'ID risorsa dell'identità gestita assegnata dall'utente

   Per creare un fleet manager con un'identità gestita assegnata dall'utente, è necessario l'ID risorsa per la nuova identità gestita. Per ottenere l'ID risorsa dell'identità gestita assegnata dall'utente, chiamare az identity show ed eseguire una query sulla proprietà id:

   RESOURCE_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query id \
       --output tsv)
   

Assegnare un ruolo di Azure RBAC all'identità gestita assegnata dall'utente

Prima di creare il fleet manager, aggiungere un'assegnazione di ruolo per l'identità gestita.

Annotazioni

La propagazione delle autorizzazioni concesse all'identità gestita del fleet manager può richiedere fino a 60 minuti.

Portale di Azure

1. Passare alla risorsa di identità gestita.

2. Selezionare la scheda Assegnazioni di ruolo di Azure nel riquadro di spostamento sinistro della risorsa di identità gestita. Verrà visualizzato il riquadro Assegnazioni di ruolo di Azure.

   

3. Selezionare Aggiungi assegnazione di ruolo per aprire il riquadro Aggiungi assegnazione di ruolo e immettere:

   • Ambito: selezionare Gruppo di risorse.

   • Abbonamento: scegliere l'abbonamento di Azure contenente il gruppo di risorse che si vuole usare.

   • Gruppo di risorse: selezionare il gruppo di risorse.

   • Ruolo: scegliere il ruolo da assegnare all'identità gestita, ad esempio Collaboratore rete.

     

4. Selezionare Salva per assegnare il ruolo all'identità gestita.

Interfaccia della riga di comando di Azure

Usare il comando az role assignment create per assegnare un ruolo all'identità gestita assegnata dall'utente.

Nell'esempio seguente, viene assegnato il ruolo Collaboratore rete per concedere le autorizzazioni di identità per accedere alle risorse di rete. L'assegnazione di ruolo ha come ambito il gruppo di risorse del fleet manager.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Creare un fleet manager con l'identità gestita assegnata dall'utente

Annotazioni

Le aree USDOD Central, USDOD East e USGov Iowa nel cloud di Azure per enti pubblici degli Stati Uniti non supportano la creazione di un fleet manager con un'identità gestita assegnata dall'utente.

Portale di Azure

Non è possibile creare un fleet manager con un'identità gestita assegnata dall'utente nel portale di Azure. È possibile modificare il tipo di identità del fleet manager in assegnato dall'utente dopo la creazione del fleet manager oppure usare l'interfaccia della riga di comando di Azure.

Interfaccia della riga di comando di Azure

Creare un fleet manager con l'identità gestita assegnata dall'utente usando il comando az fleet create con il parametro --assign-identity. Passare l'ID risorsa per l'identità gestita assegnata dall'utente:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Aggiornare un fleet manager esistente per usare un'identità gestita assegnata dall'utente

Portale di Azure

È possibile gestire l'identità gestita del fleet manager usando il pannello Identità nella sezione Impostazioni del fleet manager.

1. Passare alla scheda Identità gestita assegnata dall'utente selezionando Assegnata dall'utente.

   

2. Selezionare + Aggiungi per aprire il riquadro Aggiungi identità gestita assegnata dall'utente.

   • Abbonamento: scegliere l'abbonamento di Azure contenente l'identità gestita assegnata dall'utente che si vuole usare.
   • Identità gestite assegnate dall'utente: cercare l'identità gestita assegnata dall'utente che si vuole usare.

   

3. Selezionare Aggiungi per aggiungere l'identità gestita assegnata dall'utente al fleet manager.

4. Dopo alcuni istanti, l'elenco Assegnata dall'utente cambia e viene elencata l'identità gestita assegnata dall'utente.

   

Interfaccia della riga di comando di Azure

Per aggiornare un fleet manager esistente per usare un'identità gestita assegnata dall'utente, chiamare il comando az fleet update. Includere il parametro --assign-identity e passare l'ID della risorsa per l'identità gestita assegnata all'utente:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

L'output per un aggiornamento del fleet manager riuscito per l'uso di un'identità gestita assegnata dall'utente dovrebbe essere simile all'output di esempio seguente:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Determinare il tipo di identità gestita in uso

Portale di Azure

È possibile controllare le impostazioni dell'identità gestita del fleet manager usando il pannello Identità nella sezione Impostazioni del fleet manager.

Controllare entrambe le sezioni Assegnata dal sistema e Assegnata dall'utente per determinare il tipo di identità gestita abilitata.

Interfaccia della riga di comando di Azure

Per determinare il tipo di identità gestita usato dal fleet manager esistente, chiamare il comando az fleet show ed eseguire una query per la proprietà tipo dell'identità.

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv       

La risposta è SystemAssigned o UserAssigned.

Passaggi successivi

• Usare i modelli di Azure Resource Manager per creare un'identità gestita abilitata per il fleet manager.