Jak używać tożsamości zarządzanych na potrzeby konfiguracji aplikacja systemu Azure
W tym temacie przedstawiono sposób tworzenia tożsamości zarządzanej dla aplikacja systemu Azure Configuration. Tożsamość zarządzana z identyfikatora Entra firmy Microsoft umożliwia aplikacja systemu Azure Configuration łatwe uzyskiwanie dostępu do innych chronionych zasobów firmy Microsoft. Tożsamość jest zarządzana przez platformę Azure. Nie wymaga aprowizacji ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
Aplikacja może mieć korzystać z dwóch typów tożsamości:
- Tożsamość przypisana przez system jest powiązana z magazynem konfiguracji. Zostanie on usunięty, jeśli magazyn konfiguracji zostanie usunięty. Magazyn konfiguracji może mieć tylko jedną tożsamość przypisaną przez system.
- Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do magazynu konfiguracji. Magazyn konfiguracji może mieć wiele tożsamości przypisanych przez użytkownika.
Dodawanie tożsamości przypisanej przez system
Utworzenie magazynu usługi App Configuration z tożsamością przypisaną przez system wymaga ustawienia dodatkowej właściwości w sklepie.
Przy użyciu interfejsu wiersza polecenia platformy Azure
Aby skonfigurować tożsamość zarządzaną przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia az appconfig identity assign względem istniejącego magazynu konfiguracji. Dostępne są trzy opcje uruchamiania przykładów w tej sekcji:
- Użyj usługi Azure Cloud Shell w witrynie Azure Portal.
- Użyj osadzonej usługi Azure Cloud Shell za pomocą przycisku "Wypróbuj" znajdującego się w prawym górnym rogu każdego bloku kodu poniżej.
- Zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure (2.1 lub nowszą), jeśli wolisz używać lokalnej konsoli interfejsu wiersza polecenia.
Poniższe kroki przeprowadzą Cię przez proces tworzenia magazynu usługi App Configuration i przypisywania jej tożsamości przy użyciu interfejsu wiersza polecenia:
Jeśli używasz interfejsu wiersza polecenia platformy Azure w konsoli lokalnej, najpierw zaloguj się do platformy Azure za pomocą polecenia az login. Użyj konta skojarzonego z subskrypcją platformy Azure:
az loginUtwórz magazyn usługi App Configuration przy użyciu interfejsu wiersza polecenia. Aby uzyskać więcej przykładów używania interfejsu wiersza polecenia z usługą aplikacja systemu Azure Configuration, zobacz Przykłady interfejsu wiersza polecenia usługi App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku FreeUruchom polecenie az appconfig identity assign, aby utworzyć tożsamość przypisaną przez system dla tego magazynu konfiguracji:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Dodawanie tożsamości przypisanej przez użytkownika
Utworzenie magazynu usługi App Configuration z tożsamością przypisaną przez użytkownika wymaga utworzenia tożsamości, a następnie przypisania jej identyfikatora zasobu do magazynu.
Uwaga
Do magazynu App Configuration można dodać maksymalnie 10 tożsamości zarządzanych przypisanych przez użytkownika.
Przy użyciu interfejsu wiersza polecenia platformy Azure
Aby skonfigurować tożsamość zarządzaną przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia az appconfig identity assign względem istniejącego magazynu konfiguracji. Dostępne są trzy opcje uruchamiania przykładów w tej sekcji:
- Użyj usługi Azure Cloud Shell w witrynie Azure Portal.
- Użyj osadzonej usługi Azure Cloud Shell za pomocą przycisku "Wypróbuj" znajdującego się w prawym górnym rogu każdego bloku kodu poniżej.
- Zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure (2.0.31 lub nowszą), jeśli wolisz używać lokalnej konsoli interfejsu wiersza polecenia.
Poniższe kroki przeprowadzą Cię przez proces tworzenia tożsamości przypisanej przez użytkownika i magazynu App Configuration, a następnie przypisywania tożsamości do magazynu przy użyciu interfejsu wiersza polecenia:
Jeśli używasz interfejsu wiersza polecenia platformy Azure w konsoli lokalnej, najpierw zaloguj się do platformy Azure za pomocą polecenia az login. Użyj konta skojarzonego z subskrypcją platformy Azure:
az loginUtwórz magazyn usługi App Configuration przy użyciu interfejsu wiersza polecenia. Aby uzyskać więcej przykładów używania interfejsu wiersza polecenia z usługą aplikacja systemu Azure Configuration, zobacz Przykłady interfejsu wiersza polecenia usługi App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku FreeUtwórz tożsamość przypisaną przez użytkownika o nazwie
myUserAssignedIdentityprzy użyciu interfejsu wiersza polecenia.az identity create -resource-group myResourceGroup --name myUserAssignedIdentityW danych wyjściowych tego polecenia zanotuj
idwartość właściwości .Uruchom polecenie az appconfig identity assign, aby przypisać nową tożsamość przypisaną przez użytkownika do tego magazynu konfiguracji. Użyj wartości
idwłaściwości zanotowaną w poprzednim kroku.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Usuwanie tożsamości
Tożsamość przypisana przez system można usunąć, wyłączając tę funkcję przy użyciu polecenia az appconfig identity remove w interfejsie wiersza polecenia platformy Azure. Tożsamości przypisane przez użytkownika można usunąć indywidualnie. Usunięcie tożsamości przypisanej przez system w ten sposób spowoduje również usunięcie jej z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu zasobu aplikacji.