Tożsamości zarządzane przypisane przez użytkownika

Ten artykuł zawiera szczegółowe instrukcje dotyczące dodawania lub usuwania tożsamości zarządzanych przypisanych przez użytkownika dla elastycznego serwera usługi Azure Database for PostgreSQL.

Kroki przypisywania do istniejących serwerów

W tym artykule założono, że utworzyłeś przypisane przez użytkownika tożsamości zarządzane, które chcesz połączyć z istniejącym elastycznym serwerem bazy danych Azure dla PostgreSQL.

Aby uzyskać więcej informacji, zobacz jak zarządzać tożsamościami zarządzanymi przypisanymi przez użytkownika w usłudze Microsoft Entra ID.

Można skojarzyć dowolną liczbę przypisanych przez użytkownika tożsamości zarządzanych z elastycznym wystąpieniem serwera usługi Azure Database for PostgreSQL.

Portal

Nie ma wsparcia dla przypisywania zarządzanych tożsamości użytkownika do instancji elastycznego serwera Azure Database for PostgreSQL za pomocą portalu.

CLI

Tożsamość użytkownika można skojarzyć z serwerem elastycznym usługi Azure Database for PostgreSQL za pomocą polecenia az postgres flexible-server identity assign.

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign \
  --resource-group $resourceGroup \
  --server-name $server \
  --identity $identity

Kroki usuwania z istniejących serwerów

Usługa obsługuje odłączanie tożsamości zarządzanych nadanych przez użytkownika, które są powiązane z elastycznym wystąpieniem serwera Azure Database for PostgreSQL.

Wyjątkiem od tej reguły jest dowolna z tożsamości zarządzanych przypisanych przez użytkownika, które są wyznaczone jako te, które powinny być używane do uzyskiwania dostępu do kluczy szyfrowania. Ten przypadek jest możliwy tylko na serwerach wdrożonych przy użyciu szyfrowania danych przy użyciu kluczy zarządzanych przez klienta.

Portal

Nie jest obsługiwane usunięcie powiązania tożsamości zarządzanych przypisanych przez użytkownika z wystąpieniem elastycznego serwera usługi Azure Database for PostgreSQL za pośrednictwem portalu.

CLI

Aby usunąć tożsamość przypisaną przez użytkownika z wystąpienia elastycznego serwera usługi Azure Database for PostgreSQL, użyj polecenia az postgres flexible-server identity remove.

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove \
  --resource-group $resourceGroup \
  --server-name $server \
  --identity $identity

Jeśli spróbujesz usunąć tożsamość zarządzaną przypisaną przez użytkownika, która jest używana do uzyskiwania dostępu do klucza szyfrowania danych, zostanie wyświetlony następujący błąd:

Cannot remove identity <identity> because it's used for data encryption.

Kroki, aby wyświetlić aktualnie przypisane

Portal

Korzystanie z portalu Azure:

1. Zlokalizuj swój serwer w portalu, jeśli nie masz go otwartego. Jednym ze sposobów wykonania tej czynności jest wpisanie nazwy serwera na pasku wyszukiwania. Gdy zasób o pasującej nazwie zostanie wyświetlony, wybierz ten zasób.

   

2. W menu zasobów w obszarze Przegląd wybierz pozycję Widok JSON.

   

3. W panelu Zasób JSON, który się otworzy, znajdź właściwość identity, a w jej wnętrzu możesz znaleźć userAssignedIdentities. Ten obiekt składa się z co najmniej jednej pary klucz/wartość, gdzie każdy klucz reprezentuje identyfikator zasobu jednej tożsamości zarządzanej przypisanej przez użytkownika, a ich odpowiadająca wartość jest składana z principalId i clientId skojarzonych z tą tożsamością zarządzaną.

   

CLI

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list \
  --resource-group $resourceGroup \
  --server-name $server \
  --query "userAssignedIdentities"

Treści powiązane

• Tożsamość zarządzana przypisana przez system