Beheerde identiteiten gebruiken voor Azure Load Testing

In dit artikel wordt beschreven hoe u een beheerde identiteit maakt voor Azure Load Testing. U kunt een beheerde identiteit gebruiken om geheimen of certificaten van Azure Key Vault veilig te lezen in uw belastingstest.

Met een beheerde identiteit van Microsoft Entra ID heeft uw resource voor belastingstests eenvoudig toegang tot met Microsoft Entra beveiligde Azure Key Vault. De identiteit wordt beheerd door het Azure-platform en vereist niet dat u geheimen beheert of roteert. Zie Beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Microsoft Entra ID.

Azure Load Testing ondersteunt twee typen identiteiten:

• Een door het systeem toegewezen identiteit is gekoppeld aan uw resource voor belastingstests en wordt verwijderd wanneer uw resource wordt verwijderd. Een resource kan slechts één door het systeem toegewezen identiteit hebben.
• Een door de gebruiker toegewezen identiteit is een zelfstandige Azure-resource die u kunt toewijzen aan uw resource voor belastingstests. Wanneer u de resource voor belastingtests verwijdert, blijft de beheerde identiteit beschikbaar. U kunt meerdere door de gebruiker toegewezen identiteiten toewijzen aan de resource voor belastingtests.

Op dit moment kunt u alleen de beheerde identiteit gebruiken voor toegang tot Azure Key Vault.

Vereisten

• Een Azure-account met een actief abonnement. Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
• Een Azure Load Testing-resource. Als u een Azure Load Testing-resource wilt maken, raadpleegt u de quickstart : Een belastingstest maken en uitvoeren.
• Als u een door de gebruiker toegewezen beheerde identiteit wilt maken, moet uw account de roltoewijzing Inzender beheerde identiteit hebben.

Een door het systeem toegewezen identiteit toewijzen aan een resource voor belastingtests

Als u een door het systeem toegewezen identiteit wilt toewijzen voor uw Azure Load Testing-resource, schakelt u een eigenschap in voor de resource. U kunt deze eigenschap instellen met behulp van Azure Portal of met behulp van een ARM-sjabloon (Azure Resource Manager).

Portal

Als u een beheerde identiteit in de portal wilt instellen, maakt u eerst een Azure Load Testing-resource en schakelt u vervolgens de functie in.

1. Ga in Azure Portal naar uw Azure Load Testing-resource.

2. Selecteer Identiteit in het linkerdeelvenster.

3. Schakel op het tabblad Systeem toegewezen status over naar Aan en selecteer Opslaan.

   

4. Selecteer Ja in het bevestigingsvenster om de toewijzing van de beheerde identiteit te bevestigen.

5. Nadat deze bewerking is voltooid, wordt op de pagina de object-id van de beheerde identiteit weergegeven en kunt u er machtigingen aan toewijzen.

   

Azure-CLI

Voer de opdracht uit om --identity-type SystemAssigned een door het az load update systeem toegewezen identiteit toe te voegen aan uw load testing-resource:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

ARM-sjabloon

U kunt een ARM-sjabloon gebruiken om de implementatie van uw Azure-resources te automatiseren. Zie de arm-referentiedocumentatie voor Azure Load Testing voor meer informatie over het gebruik van ARM-sjablonen met Azure Load Testing.

U kunt een door het systeem toegewezen beheerde identiteit toewijzen wanneer u een resource van het type Microsoft.LoadTestService/loadtestsmaakt. Configureer de identity eigenschap met de SystemAssigned waarde in de resourcedefinitie:

"identity": {
    "type": "SystemAssigned"
}

Door het door het systeem toegewezen identiteitstype toe te voegen, vertelt u Azure om de identiteit voor uw resource te maken en te beheren. Een Azure Load Testing-resource kan er bijvoorbeeld als volgt uitzien:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Nadat het maken van de resource is voltooid, worden de volgende eigenschappen geconfigureerd voor de resource:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

De tenantId eigenschap identificeert tot welke Microsoft Entra-tenant de beheerde identiteit behoort. Dit principalId is een unieke id voor de nieuwe identiteit van de resource. Binnen Microsoft Entra-id heeft de service-principal dezelfde naam als de Azure Load Testing-resource.

Een door de gebruiker toegewezen identiteit toewijzen aan een resource voor belastingstests

Voordat u een door de gebruiker toegewezen beheerde identiteit kunt toevoegen aan een Azure Load Testing-resource, moet u eerst deze identiteit maken in Microsoft Entra-id. Vervolgens kunt u de identiteit toewijzen met behulp van de resource-id.

U kunt meerdere door de gebruiker toegewezen beheerde identiteiten toevoegen aan uw resource. Als u bijvoorbeeld toegang nodig hebt tot meerdere Azure-resources, kunt u verschillende machtigingen verlenen aan elk van deze identiteiten.

Portal

1. Maak een door de gebruiker toegewezen beheerde identiteit door de instructies te volgen die worden vermeld in Een door de gebruiker toegewezen beheerde identiteit maken.

   

2. Ga in Azure Portal naar uw Azure Load Testing-resource.

3. Selecteer Identiteit in het linkerdeelvenster.

4. Selecteer het tabblad Gebruiker toegewezen en selecteer Toevoegen.

5. Zoek en selecteer de beheerde identiteit die u eerder hebt gemaakt. Selecteer vervolgens Toevoegen om deze toe te voegen aan de Azure Load Testing-resource.

   

Azure-CLI

1. Maak een door de gebruiker toegewezen identiteit.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Voer de opdracht uit om --identity-type UserAssigned een door de az load update gebruiker toegewezen identiteit toe te voegen aan uw resource voor belastingstests:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

ARM-sjabloon

U kunt een Azure-resource voor belastingstests maken met behulp van een ARM-sjabloon en het resourcetype Microsoft.LoadTestService/loadtests. Zie de arm-referentiedocumentatie voor Azure Load Testing voor meer informatie over het gebruik van ARM-sjablonen met Azure Load Testing.

1. Maak een door de gebruiker toegewezen beheerde identiteit door de instructies te volgen die worden vermeld in Een door de gebruiker toegewezen beheerde identiteit maken.

2. Geef de door de gebruiker toegewezen beheerde identiteit op in de identity sectie van de resourcedefinitie.

   Vervang de tijdelijke aanduiding voor tekst <RESOURCEID> door de resource-id van uw door de gebruiker toegewezen identiteit:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   In het volgende codefragment ziet u een voorbeeld van een ARM-resourcedefinitie voor Azure Load Testing met een door de gebruiker toegewezen identiteit:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Nadat de load testing-resource is gemaakt, biedt Azure de principalId en clientId eigenschappen in de uitvoer:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   Dit principalId is een unieke id voor de identiteit die wordt gebruikt voor Microsoft Entra-beheer. Dit clientId is een unieke id voor de nieuwe identiteit van de resource die wordt gebruikt voor het opgeven van welke identiteit tijdens runtime-aanroepen moet worden gebruikt.

Doelresource configureren

Mogelijk moet u de doelresource configureren om toegang te verlenen vanuit uw resource voor belastingtests. Als u bijvoorbeeld een geheim of certificaat uit Azure Key Vault leest of als u door de klant beheerde sleutels gebruikt voor versleuteling, moet u ook een toegangsbeleid toevoegen dat de beheerde identiteit van uw resource bevat. Anders worden uw aanroepen naar Azure Key Vault geweigerd, zelfs als u een geldig token gebruikt.

Als u foutcriteria wilt instellen voor metrische servergegevens, moet u ook een referentie-id voor metrische gegevens opgeven voor het ophalen van metrische gegevens. U moet de doelresource zo configureren dat de identiteit de metrische gegevens van de resource kan lezen.

Gerelateerde inhoud

• Geheimen of certificaten gebruiken in uw belastingstest
• Door de klant beheerde sleutels configureren voor versleuteling
• Wat zijn beheerde identiteiten voor Azure-resources?