Tożsamości zarządzane w usłudze Azure Container Apps

Tożsamość zarządzana z identyfikatora Entra firmy Microsoft umożliwia aplikacji kontenera dostęp do innych chronionych zasobów firmy Microsoft. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.

Aplikację kontenera można przyznać dwóm typom tożsamości:

• Tożsamość przypisana przez system jest powiązana z aplikacją kontenera i jest usuwana po usunięciu aplikacji kontenera. Aplikacja może mieć tylko jedną tożsamość przypisaną przez system.
• Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do aplikacji kontenera i innych zasobów. Aplikacja kontenera może mieć wiele tożsamości przypisanych przez użytkownika. Tożsamość istnieje do momentu ich usunięcia.

Dlaczego warto używać tożsamości zarządzanej?

Tożsamość zarządzana w uruchomionej aplikacji kontenera umożliwia uwierzytelnianie w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra.

Za pomocą tożsamości zarządzanych:

• Aplikacja łączy się z zasobami przy użyciu tożsamości zarządzanej. Nie musisz zarządzać poświadczeniami w aplikacji kontenera.
• Możesz użyć kontroli dostępu opartej na rolach, aby udzielić określonych uprawnień tożsamości zarządzanej.
• Tożsamości przypisane przez system są tworzone automatycznie i zarządzane. Są one usuwane po usunięciu aplikacji kontenera.
• Możesz dodawać i usuwać tożsamości przypisane przez użytkownika i przypisywać je do wielu zasobów. Są one niezależne od cyklu życia aplikacji kontenera.
• Tożsamość zarządzana umożliwia uwierzytelnianie za pomocą prywatnej usługi Azure Container Registry bez nazwy użytkownika i hasła w celu ściągnięcia kontenerów dla aplikacji kontenera.
• Tożsamość zarządzana umożliwia tworzenie połączeń dla aplikacji z obsługą języka Dapr za pośrednictwem składników języka Dapr

Typowe przypadki użycia

Tożsamości przypisane przez system są najlepsze w przypadku obciążeń, które:

• znajdują się w jednym zasobie
• potrzebują niezależnych tożsamości

Tożsamości przypisane przez użytkownika są idealne dla obciążeń, które:

• uruchamianie na wielu zasobach i może współużytkować jedną tożsamość
• potrzebna wstępna autoryzacja do bezpiecznego zasobu

Ograniczenia

Używanie tożsamości zarządzanych w regułach skalowania nie jest obsługiwane. Nadal musisz uwzględnić parametry połączenia lub klucz w secretRef regule skalowania.

Kontenery inicjowania nie mogą uzyskiwać dostępu do tożsamości zarządzanych.

Konfigurowanie tożsamości zarządzanych

Tożsamości zarządzane można skonfigurować za pomocą:

• Azure Portal
• interfejsu wiersza polecenia platformy Azure,
• szablon usługi Azure Resource Manager (ARM)

Gdy tożsamość zarządzana zostanie dodana, usunięta lub zmodyfikowana w uruchomionej aplikacji kontenera, aplikacja nie zostanie automatycznie uruchomiona ponownie i nie zostanie utworzona nowa poprawka.

Uwaga

Podczas dodawania tożsamości zarządzanej do aplikacji kontenera wdrożonej przed 11 kwietnia 2022 r. należy utworzyć nową poprawkę.

Dodawanie tożsamości przypisanej przez system

Witryna Azure Portal

1. W lewym obszarze nawigacji strony aplikacji kontenera przewiń w dół do grupy Ustawienia.

2. Wybierz pozycję Tożsamość.

3. Na karcie Przypisane przez system przełącz pozycję Stan na Włączone. Wybierz pozycję Zapisz.

Interfejs wiersza polecenia platformy Azure

Uruchom polecenie , az containerapp identity assign aby utworzyć tożsamość przypisaną przez system:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

Szablon usługi ARM

Szablon usługi ARM może służyć do automatyzowania wdrażania aplikacji kontenera i zasobów. Aby dodać tożsamość przypisaną przez system, dodaj sekcję identity do szablonu usługi ARM.

"identity": {
    "type": "SystemAssigned"
}

Dodanie typu przypisanego przez system informuje platformę Azure o utworzeniu tożsamości aplikacji i zarządzaniu nią. Pełny przykład szablonu usługi ARM można znaleźć w temacie Arm API Specification (Specyfikacja interfejsu API usługi ARM).

YAML

Niektóre polecenia interfejsu wiersza polecenia platformy Azure, w tym az containerapp create i az containerapp job create, obsługują pliki YAML na potrzeby danych wejściowych. Aby dodać tożsamość przypisaną przez system, dodaj sekcję identity do pliku YAML.

identity:
  type: SystemAssigned

Dodanie typu przypisanego przez system informuje platformę Azure o utworzeniu tożsamości aplikacji i zarządzaniu nią. Pełny przykład szablonu YAML można znaleźć w temacie Arm API Specification (Specyfikacja interfejsu API usługi ARM).

Dodawanie tożsamości przypisanej przez użytkownika

Skonfigurowanie aplikacji kontenera przy użyciu tożsamości przypisanej przez użytkownika wymaga, aby najpierw utworzyć tożsamość, a następnie dodać jej identyfikator zasobu do konfiguracji aplikacji kontenera. Tożsamości przypisane przez użytkownika można tworzyć za pośrednictwem witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać informacje na temat tworzenia tożsamości przypisanych przez użytkownika i zarządzania nimi, zobacz Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

Witryna Azure Portal

Najpierw należy utworzyć zasób tożsamości przypisanej przez użytkownika.

1. Utwórz zasób tożsamości zarządzanej przypisanej przez użytkownika zgodnie z instrukcjami opisanymi w temacie Zarządzanie tożsamościami zarządzanymi przypisanymi przez użytkownika.

2. Na lewej stronie nawigacji aplikacji kontenera przewiń w dół do grupy Ustawienia.

3. Wybierz pozycję Tożsamość.

4. Na karcie Przypisane przez użytkownika wybierz pozycję Dodaj.

5. Wyszukaj utworzoną wcześniej tożsamość i wybierz ją. Wybierz Dodaj.

Interfejs wiersza polecenia platformy Azure

1. Utwórz tożsamość przypisaną przez użytkownika.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Zanotuj id właściwość nowej tożsamości.

2. Uruchom polecenie , az containerapp identity assign aby przypisać tożsamość do aplikacji. Parametr tożsamości jest listą rozdzielaną spacją.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Zastąp <IDENTITY_RESOURCE_ID> element właściwością id tożsamości. Aby przypisać więcej niż jedną tożsamość przypisaną przez użytkownika, podaj rozdzielaną spacją listę identyfikatorów tożsamości do parametru --user-assigned .

Szablon usługi ARM

Aby dodać co najmniej jedną tożsamość przypisaną przez użytkownika, dodaj sekcję identity do szablonu usługi ARM. Zastąp <IDENTITY1_RESOURCE_ID> wartości i <IDENTITY2_RESOURCE_ID> identyfikatorami zasobów tożsamości, które chcesz dodać.

Określ każdą tożsamość przypisaną przez użytkownika, dodając element do userAssignedIdentities obiektu przy użyciu identyfikatora zasobu tożsamości jako klucza. Użyj pustego obiektu jako wartości.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Pełny przykład szablonu usługi ARM można znaleźć w temacie Arm API Specification (Specyfikacja interfejsu API usługi ARM).

Uwaga

Aplikacja może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku właściwość typu będzie miała wartość SystemAssigned,UserAssigned.

YAML

Aby dodać co najmniej jedną tożsamość przypisaną przez użytkownika, dodaj sekcję identity do pliku konfiguracji YAML. Zastąp <IDENTITY1_RESOURCE_ID> wartości i <IDENTITY2_RESOURCE_ID> identyfikatorami zasobów tożsamości, które chcesz dodać.

Określ każdą tożsamość przypisaną przez użytkownika, dodając element do userAssignedIdentities obiektu przy użyciu identyfikatora zasobu tożsamości jako klucza. Użyj pustego obiektu jako wartości.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Pełny przykład szablonu YAML można znaleźć w temacie Arm API Specification (Specyfikacja interfejsu API usługi ARM).

Uwaga

Aplikacja może mieć jednocześnie tożsamości przypisane przez system i przypisane przez użytkownika. W takim przypadku właściwość typu będzie miała wartość SystemAssigned,UserAssigned.

Konfigurowanie zasobu docelowego

W przypadku niektórych zasobów należy skonfigurować przypisania ról dla tożsamości zarządzanej aplikacji w celu udzielenia dostępu. W przeciwnym razie wywołania z aplikacji do usług, takich jak Azure Key Vault i Azure SQL Database, zostaną odrzucone, nawet jeśli używasz prawidłowego tokenu dla tej tożsamości. Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach (RBAC) platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach?. Aby dowiedzieć się więcej o zasobach obsługujących tokeny firmy Microsoft Entra, zobacz Usługi platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra.

Ważne

Usługi zaplecza dla tożsamości zarządzanych utrzymują pamięć podręczną na identyfikator URI zasobu przez około 24 godziny. Jeśli zaktualizujesz zasady dostępu określonego zasobu docelowego i natychmiast pobierzesz token dla tego zasobu, możesz nadal uzyskać buforowany token z nieaktualnymi uprawnieniami do momentu wygaśnięcia tego tokenu. Obecnie nie ma możliwości wymuszenia odświeżania tokenu.

Połączenie do usług platformy Azure w kodzie aplikacji

Dzięki tożsamościom zarządzanym aplikacja może uzyskiwać tokeny umożliwiające dostęp do zasobów platformy Azure korzystających z identyfikatora Entra firmy Microsoft, takich jak Azure SQL Database, Azure Key Vault i Azure Storage. Te tokeny reprezentują aplikację, która uzyskuje dostęp do zasobu, a nie żadnego konkretnego użytkownika aplikacji.

Usługa Container Apps udostępnia wewnętrznie dostępny punkt końcowy REST do pobierania tokenów. Dostęp do punktu końcowego REST można uzyskać z poziomu aplikacji przy użyciu standardowego żądania HTTP GET, który można zaimplementować za pomocą ogólnego klienta HTTP w każdym języku. W przypadku platform .NET, JavaScript, Java i Python biblioteka klienta tożsamości platformy Azure zapewnia abstrakcję dla tego punktu końcowego REST. Połączenie do innych usług platformy Azure jest tak proste, jak dodanie obiektu poświadczeń do klienta specyficznego dla usługi.

Uwaga

W przypadku korzystania z biblioteki klienta tożsamości platformy Azure należy określić identyfikator klienta tożsamości zarządzanej przypisanej przez użytkownika.

.NET

Uwaga

Podczas nawiązywania połączenia ze źródłami danych usługi Azure SQL przy użyciu programu Entity Framework Core rozważ użycie elementu Microsoft.Data.SqlClient, który zapewnia specjalne parametry połączenia na potrzeby łączności tożsamości zarządzanej.

W przypadku aplikacji platformy .NET najprostszym sposobem pracy z tożsamością zarządzaną jest użycie biblioteki klienta tożsamości platformy Azure dla platformy .NET. Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

• Dodawanie biblioteki klienta tożsamości platformy Azure do projektu
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez system
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez użytkownika

W połączonych przykładach użyto polecenia DefaultAzureCredential. Jest to przydatne w większości scenariuszy, ponieważ ten sam wzorzec działa na platformie Azure (z tożsamościami zarządzanymi) i na komputerze lokalnym (bez tożsamości zarządzanych).

JavaScript

W przypadku aplikacji Node.js najprostszym sposobem pracy z tożsamością zarządzaną jest użycie biblioteki klienta tożsamości platformy Azure dla języka JavaScript. Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

• Dodawanie biblioteki klienta tożsamości platformy Azure do projektu
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez system
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez użytkownika

W połączonych przykładach użyto polecenia DefaultAzureCredential. Jest to przydatne w większości scenariuszy, ponieważ ten sam wzorzec działa na platformie Azure (z tożsamościami zarządzanymi) i na komputerze lokalnym (bez tożsamości zarządzanych).

Aby uzyskać więcej przykładów kodu biblioteki klienta usługi Azure Identity dla języka JavaScript, zobacz Przykłady tożsamości platformy Azure.

Python

W przypadku aplikacji języka Python najprostszym sposobem pracy z tożsamością zarządzaną jest użycie biblioteki klienta tożsamości platformy Azure dla języka Python. Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

• Dodawanie biblioteki klienta tożsamości platformy Azure do projektu
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez system
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez użytkownika

W połączonych przykładach użyto polecenia DefaultAzureCredential. Jest to przydatne w większości scenariuszy, ponieważ ten sam wzorzec działa na platformie Azure (z tożsamościami zarządzanymi) i na komputerze lokalnym (bez tożsamości zarządzanych).

Java

W przypadku aplikacji i funkcji Języka Java najprostszym sposobem pracy z tożsamością zarządzaną jest biblioteka klienta tożsamości platformy Azure dla języka Java. Aby uzyskać informacje, zobacz odpowiednie nagłówki dokumentacji biblioteki klienta:

• Dodawanie biblioteki klienta tożsamości platformy Azure do projektu
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez system
• Uzyskiwanie dostępu do usługi platformy Azure przy użyciu tożsamości przypisanej przez użytkownika

W połączonych przykładach użyto polecenia DefaultAzureCredential. Jest to przydatne w większości scenariuszy, ponieważ ten sam wzorzec działa na platformie Azure (z tożsamościami zarządzanymi) i na komputerze lokalnym (bez tożsamości zarządzanych).

Aby uzyskać więcej przykładów kodu biblioteki klienta tożsamości platformy Azure dla języka Java, zobacz Przykłady tożsamości platformy Azure.

Program PowerShell

Użyj następującego skryptu, aby pobrać token z lokalnego punktu końcowego, określając identyfikator URI zasobu usługi platformy Azure. Zastąp symbol zastępczy identyfikatorem URI zasobu, aby uzyskać token.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Nieprzetworzone żądanie HTTP GET wygląda jak w poniższym przykładzie.

Uzyskaj adres URL punktu końcowego tokenu ze zmiennej środowiskowej IDENTITY_ENDPOINT . x-identity-header zawiera identyfikator GUID przechowywany w zmiennej środowiskowej IDENTITY_HEADER .

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Odpowiedź może wyglądać następująco:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Ta odpowiedź jest taka sama jak odpowiedź na żądanie tokenu dostępu do usługi firmy Microsoft. Aby uzyskać dostęp do usługi Key Vault, należy dodać wartość access_token do połączenia klienta z magazynem.

Dokumentacja punktu końcowego REST

Aplikacja kontenera z tożsamością zarządzaną uwidacznia punkt końcowy tożsamości, definiując dwie zmienne środowiskowe:

• IDENTITY_ENDPOINT — lokalny adres URL, z którego aplikacja kontenera może żądać tokenów.
• IDENTITY_HEADER — nagłówek służący do eliminowania ataków fałszerskich żądań po stronie serwera (SSRF). Wartość jest obracana przez platformę.

Aby uzyskać token dla zasobu, utwórz żądanie HTTP GET do punktu końcowego, w tym następujące parametry:

Nazwa parametru	Za	opis
zasób	Query	Identyfikator URI zasobu Microsoft Entra zasobu, dla którego należy uzyskać token. Zasób może być jedną z usług platformy Azure, które obsługują uwierzytelnianie Firmy Microsoft Entra lub dowolny inny identyfikator URI zasobu.
api-version	Query	Wersja interfejsu API tokenu do użycia. Użyj polecenia "2019-08-01" lub nowszego.
X-IDENTITY-HEADER	Nagłówek	Wartość zmiennej środowiskowej IDENTITY_HEADER . Ten nagłówek ogranicza ryzyko fałszerskich ataków żądania po stronie serwera (SSRF).
client_id	Query	(Opcjonalnie) Identyfikator klienta tożsamości przypisanej przez użytkownika do użycia. Nie można używać w żądaniu zawierającym principal_id, mi_res_idlub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi mi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.
Principal_id	Query	(Opcjonalnie) Identyfikator podmiotu zabezpieczeń tożsamości przypisanej przez użytkownika do użycia. object_id jest aliasem, który może zamiast tego być używany. Nie można używać w żądaniu zawierającym client_id, mi_res_id lub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi mi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.
mi_res_id	Query	(Opcjonalnie) Identyfikator zasobu platformy Azure tożsamości przypisanej przez użytkownika do użycia. Nie można używać w żądaniu zawierającym principal_id, client_idlub object_id. Jeśli wszystkie parametry identyfikatora (client_id, principal_id, object_idi mi_res_id) zostaną pominięte, zostanie użyta tożsamość przypisana przez system.

Ważne

Jeśli próbujesz uzyskać tokeny dla tożsamości przypisanych przez użytkownika, musisz uwzględnić jedną z opcjonalnych właściwości. W przeciwnym razie usługa tokenu podejmie próbę uzyskania tokenu dla tożsamości przypisanej przez system, co może lub nie istnieje.

Wyświetlanie tożsamości zarządzanych

Tożsamości zarządzane przypisane przez system i przypisane przez użytkownika można wyświetlić przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure. Dane wyjściowe przedstawiają typ tożsamości zarządzanej, identyfikatory dzierżawy i identyfikatory podmiotów zabezpieczeń wszystkich tożsamości zarządzanych przypisanych do aplikacji kontenera.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Usuwanie tożsamości zarządzanej

Po usunięciu tożsamości przypisanej przez system zostanie ona usunięta z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu samego zasobu aplikacji kontenera. Usunięcie tożsamości zarządzanych przypisanych przez użytkownika z aplikacji kontenera nie powoduje usunięcia ich z identyfikatora Entra firmy Microsoft.

Witryna Azure Portal

1. W lewym obszarze nawigacji strony aplikacji przewiń w dół do grupy Ustawienia.

2. Wybierz pozycję Tożsamość. Następnie wykonaj kroki na podstawie typu tożsamości:

   • Tożsamość przypisana przez system: na karcie Przypisane przez system przełącz pozycję Stan na Wyłączone. Wybierz pozycję Zapisz.
   • Tożsamość przypisana przez użytkownika: wybierz kartę Przypisane przez użytkownika, zaznacz pole wyboru tożsamości i wybierz pozycję Usuń. Wybierz Tak, aby potwierdzić.

Interfejs wiersza polecenia platformy Azure

Aby usunąć tożsamość przypisaną przez system:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Aby usunąć co najmniej jedną tożsamość przypisaną przez użytkownika:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Aby usunąć wszystkie tożsamości przypisane przez użytkownika:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Szablon usługi ARM

Aby usunąć wszystkie tożsamości, ustaw type dla tożsamości aplikacji kontenera wartość None w szablonie usługi ARM:

"identity": {
    "type": "None"
}

YAML

Aby usunąć wszystkie tożsamości, ustaw type wartość tożsamości aplikacji kontenera na None w pliku konfiguracji YAML:

identity:
    type: None

Następne kroki

Monitorowanie aplikacji