Esaminare l'autenticazione con l'identità gestita

  • 5 minuti

Esistono diversi modi per eseguire l'autenticazione con le istanze del registro contenitori, ognuna delle quali è applicabile a uno o più scenari di utilizzo.

I modi consigliati includono:

  • Autenticarsi direttamente usando un login individuale.
  • Eseguire l'autenticazione usando un'entità servizio.
  • Eseguire l'autenticazione usando un'identità gestita.

Perché usare un'identità gestita con registro contenitori?

Le identità gestite per le risorse di Azure possono essere usate per eseguire l'autenticazione in un registro Azure Container da un'altra risorsa di Azure, senza dover fornire o gestire le credenziali del Registro di sistema. Ad esempio, configurare un'identità gestita assegnata dall'utente o assegnata dal sistema in una macchina virtuale Linux per accedere alle immagini del contenitore dal registro contenitori, con la facilità con cui si usa un registro pubblico. In alternativa, configurare un cluster di Azure Kubernetes Service per utilizzare la relativa identità gestita per recuperare le immagini dei container da Azure Container Registry per le distribuzioni di pod.

Esistono due tipi di identità gestita: assegnata dal sistema e assegnata dall'utente. Le identità gestite assegnate dal sistema hanno il ciclo di vita associato alla risorsa che li ha creati. Le identità gestite assegnate dall'utente possono essere usate in più di una risorsa.

È possibile creare un'identità gestita assegnata dall'utente e assegnarla a una o più risorse di Azure. Quando si abilita un'identità gestita assegnata dall'utente:

  • Per l'identità viene creato un'entità servizio di tipo speciale in Microsoft Entra ID. L'entità principale del servizio viene gestita separatamente dalle risorse che lo utilizzano.
  • Più risorse sono in grado di usare l'identità gestita.
  • L'utente autorizza l'identità gestita ad avere accesso a uno o più servizi.

Creare un'identità gestita assegnata dall'utente

È possibile creare un'identità gestita assegnata dall'utente usando il portale di Azure, l'interfaccia della riga di comando di Azure, PowerShell, Resource Manager o REST.

Annotazioni

Per creare un'identità gestita assegnata dall'utente, l'account deve avere l'assegnazione di ruolo Collaboratore identità gestita (o un ruolo con autorità con privilegi elevati, ad esempio Proprietario).

Per creare un'identità gestita assegnata dall'utente con l'interfaccia della riga di comando di Azure, usare il az identity create comando . Il -g parametro specifica il gruppo di risorse per l'identità gestita assegnata dall'utente. Il -n parametro specifica il nome dell'identità gestita assegnata dall'utente. Ad esempio, il comando seguente crea un'identità gestita assegnata dall'utente denominata uami-apl2003 in un gruppo di risorse denominato RG1:

az identity create -g RG1 -n uami-apl2003

Importante

Quando si creano identità gestite assegnate dall'utente, sono supportati solo i caratteri alfanumerici (0-9, a-z e A-Z) e il trattino (-). Per il corretto funzionamento dell'assegnazione a una macchina virtuale o a un set di scalabilità di macchine virtuali, il nome deve essere limitato a 24 caratteri.

Per creare un'identità gestita assegnata dall'utente nel portale di Azure, selezionare Crea una risorsa e quindi trovare il servizio elencato nella categoria Identità o cercare l'identità gestita assegnata dall'utente.

Screenshot che mostra il servizio Identità gestita assegnata dall'utente in Azure Marketplace.

Nella pagina Crea identità gestita assegnata dall'utente specificare i valori per Sottoscrizione, Gruppo di risorse, Area e Nome.

Screenshot che mostra la scheda Informazioni di base per la pagina Crea identità gestita assegnata dall'utente.