Tożsamości zarządzane dla zasobów platformy Azure — często zadawane pytania

Administracja

Jak można znaleźć zasoby, które mają tożsamość zarządzaną?

Listę zasobów, które mają tożsamość zarządzaną przypisaną przez system, można znaleźć przy użyciu następującego polecenia interfejsu wiersza polecenia platformy Azure:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

Które uprawnienia kontroli dostępu opartej na rolach (RBAC) na platformie Azure są wymagane do korzystania z tożsamości zarządzanej w zasobie?

• Tożsamość zarządzana przypisana przez system: musisz mieć uprawnienia do zapisu w zasobie. Na przykład w przypadku maszyn wirtualnych potrzebne jest uprawnienie Microsoft.Compute/virtualMachines/write. Ta akcja jest uwzględniana w rolach wbudowanych specyficznych dla zasobów, takich jak Współautor maszyny wirtualnej.
• Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika do zasobów: potrzebujesz uprawnień do zapisu w zasobie. Na przykład w przypadku maszyn wirtualnych potrzebne jest uprawnienie Microsoft.Compute/virtualMachines/write. Musisz podjąć Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action działanie w sprawie tożsamości przypisanej przez użytkownika. Ta akcja jest uwzględniona we wbudowanej roli Operatora tożsamości zarządzanej.
• Zarządzanie tożsamościami przypisanymi przez użytkownika: aby utworzyć lub usunąć tożsamości zarządzane przypisane przez użytkownika, musisz przypisać rolę Współautor tożsamości zarządzanej.
• Zarządzanie przypisaniami ról dla tożsamości zarządzanych: potrzebujesz przypisania roli Właściciel lub Administrator dostępu użytkowników do zasobu, do którego udzielasz dostępu. Konieczne będzie przypisanie roli Czytelnik do zasobu z tożsamością przypisaną przez system lub tożsamości przypisanej przez użytkownika, która ma przypisanie roli. Jeśli nie masz dostępu do odczytu, możesz wyszukać według pozycji "Użytkownik, grupa lub jednostka usługi", aby znaleźć jednostkę usługi tworzenia kopii zapasowej tożsamości, zamiast wyszukiwać według tożsamości zarządzanej podczas dodawania przypisania roli. Przeczytaj więcej na temat przypisywania ról platformy Azure.

Jak mogę uniemożliwić tworzenie tożsamości zarządzanych przypisanych przez użytkownika?

Możesz uniemożliwić użytkownikom tworzenie tożsamości zarządzanych przypisanych przez użytkownika przy użyciu usługi Azure Policy

1. Zaloguj się do witryny Azure Portal i przejdź do pozycji Zasady.

2. Wybieranie definicji

3. Wybierz pozycję + Definicja zasad i wprowadź niezbędne informacje.

4. W sekcji reguły zasad wklej:

   {
     "mode": "All",
     "policyRule": {
       "if": {
         "field": "type",
         "equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
       },
       "then": {
         "effect": "deny"
       }
     },
     "parameters": {}
   }
   
   

Po utworzeniu zasad przypisz ją do grupy zasobów, której chcesz użyć.

1. Przejdź do grup zasobów.
2. Znajdź grupę zasobów używaną do testowania.
3. Wybierz pozycję Zasady z menu po lewej stronie.
4. Wybierz pozycję Przypisz zasady
5. W sekcji Podstawy podaj następujące informacje:
   1. Zakres Grupa zasobów używana do testowania
   2. Definicja zasad: utworzone wcześniej zasady.
6. Pozostaw wartości domyślne wszystkich innych ustawień i wybierz pozycję Przejrzyj i utwórz

W tym momencie każda próba utworzenia tożsamości zarządzanej przypisanej przez użytkownika w grupie zasobów kończy się niepowodzeniem.

Pojęcia

Czy tożsamości zarządzane mają obiekt aplikacji zapasowej?

Nie, tożsamości zarządzane i rejestracje aplikacji Firmy Microsoft Entra nie są takie same w katalogu.

Rejestracje aplikacji mają dwa składniki: obiekt aplikacji i obiekt jednostki usługi. Tożsamość zarządzana ma tylko obiekt jednostki usługi.

Tożsamości zarządzane nie mają obiektu aplikacji w katalogu, co jest często używane do udzielania uprawnień aplikacji dla programu Microsoft Graph. Zamiast tego uprawnienia programu Microsoft Graph dla tożsamości zarządzanych muszą być przyznawane bezpośrednio dla jednostki usługi.

Jakie jest poświadczenie skojarzone z tożsamością zarządzaną? Jak długo jest on prawidłowy i jak często jest obracany?

Uwaga

Sposób uwierzytelniania tożsamości zarządzanych to szczegóły implementacji wewnętrznej, które mogą ulec zmianie bez powiadomienia.

Tożsamości zarządzane używają uwierzytelniania opartego na certyfikatach. Poświadczenia każdej tożsamości zarządzanej mają czas wygaśnięcia 90 dni i są wprowadzane po 45 dniach.

Jaka tożsamość będzie domyślna dla usługi IMDS, jeśli nie określę tożsamości w żądaniu?

• Jeśli tożsamość zarządzana przypisana przez system jest włączona i nie określono tożsamości w żądaniu, usługa Azure Instance Metadata Service (IMDS) domyślnie ma przypisaną przez system tożsamość zarządzaną.
• Jeśli tożsamość zarządzana przypisana przez system nie jest włączona i istnieje tylko jedna tożsamość zarządzana przypisana przez użytkownika, usługa IMDS jest domyślnie przypisana do tej tożsamości zarządzanej przypisanej przez pojedynczego użytkownika.

  Jeśli z jakiegokolwiek powodu do zasobu jest przypisana inna tożsamość zarządzana przypisana przez innego użytkownika, żądania do usługi IMDS zaczną się kończyć niepowodzeniem z powodu błędu Multiple user assigned identities exist, please specify the clientId / resourceId of the identity in the token request. Zdecydowanie zalecamy jawne określenie tożsamości w żądaniu, nawet jeśli dla zasobu istnieje obecnie tylko jedna tożsamość zarządzana przypisana przez jednego użytkownika.

• Jeśli tożsamość zarządzana przypisana przez system nie jest włączona, a istnieje wiele tożsamości zarządzanych przypisanych przez użytkownika, musisz określić tożsamość zarządzaną w żądaniu.

Ograniczenia

Czy ta sama tożsamość zarządzana może być używana w wielu regionach?

Krótko mówiąc, tak można użyć tożsamości zarządzanych przypisanych przez użytkownika w więcej niż jednym regionie świadczenia usługi Azure. Dłuższą odpowiedzią jest to, że podczas gdy tożsamości zarządzane przypisane przez użytkownika są tworzone jako zasoby regionalne, skojarzona jednostka usługi (SP) utworzona w identyfikatorze Entra firmy Microsoft jest dostępna globalnie. Jednostka usługi może być używana z dowolnego regionu świadczenia usługi Azure, a jej dostępność zależy od dostępności identyfikatora Entra firmy Microsoft. Jeśli na przykład utworzono tożsamość zarządzaną przypisaną przez użytkownika w regionie Południowo-środkowym i region ten stanie się niedostępny, ten problem ma wpływ tylko na działania płaszczyzny sterowania w samej tożsamości zarządzanej. Działania wykonywane przez wszystkie zasoby, które zostały już skonfigurowane do korzystania z tożsamości zarządzanych, nie będą miały wpływu.

Czy tożsamości zarządzane dla zasobów platformy Azure działają z usługami Azure Cloud Services (wersja klasyczna)?

Tożsamości zarządzane dla zasobów platformy Azure nie obsługują obecnie usług Azure Cloud Services (klasycznych).

Jaka jest granica zabezpieczeń tożsamości zarządzanych dla zasobów platformy Azure?

Granica zabezpieczeń tożsamości to zasób, do którego jest dołączony. Na przykład granica zabezpieczeń dla maszyny wirtualnej z włączonymi tożsamościami zarządzanymi dla zasobów platformy Azure to maszyna wirtualna. Każdy kod uruchomiony na tej maszynie wirtualnej może wywołać punkt końcowy tożsamości zarządzanych i tokeny żądania. Środowisko jest podobne podczas pracy z innymi zasobami, które obsługują tożsamości zarządzane.

Czy tożsamości zarządzane będą tworzone ponownie automatycznie, jeśli przeniesiem subskrypcję do innego katalogu?

Nie, jeśli przeniesiesz subskrypcję do innego katalogu, musisz ręcznie je ponownie utworzyć i ponownie przyznać przypisania ról platformy Azure.

• W przypadku tożsamości zarządzanych przypisanych przez system: wyłącz je i włącz ponownie.
• W przypadku tożsamości zarządzanych przypisanych przez użytkownika: usuń je, utwórz ponownie i ponownie przypisz do właściwych zasobów (na przykład maszyn wirtualnych)

Czy mogę użyć tożsamości zarządzanej, aby uzyskać dostęp do zasobu w innym katalogu/dzierżawie?

Nie, tożsamości zarządzane nie obsługują obecnie scenariuszy obejmujących wiele katalogów.

Czy istnieją limity szybkości, które mają zastosowanie do tożsamości zarządzanych?

Limity tożsamości zarządzanych mają zależności od limitów usług platformy Azure, limitów usługi Azure Instance Metadata Service (IMDS) i limitów usługi Entra firmy Microsoft.

• Limity usługi platformy Azure określają liczbę operacji tworzenia, które można wykonywać na poziomach dzierżawy i subskrypcji. Tożsamości zarządzane przypisane przez użytkownika mają również ograniczenia dotyczące sposobu ich nazwania.
• ImDS Ogólnie żądania do IMDS są ograniczone do pięciu żądań na sekundę. Żądania przekraczające ten próg są odrzucane z 429 odpowiedziami. Żądania do kategorii Tożsamość zarządzana są ograniczone do 20 żądań na sekundę i 5 współbieżnych żądań. Więcej informacji można przeczytać w artykule Azure Instance Metadata Service (Windows).
• Usługa Microsoft Entra Każda tożsamość zarządzana jest liczone do limitu przydziału obiektów w dzierżawie firmy Microsoft Entra zgodnie z opisem w temacie Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Entra firmy Microsoft).

Czy można przenieść tożsamość zarządzaną przypisaną przez użytkownika do innej grupy zasobów/subskrypcji?

Przenoszenie tożsamości zarządzanej przypisanej przez użytkownika do innej grupy zasobów nie jest obsługiwane. Jeśli musisz użyć tożsamości zarządzanej w innej grupie zasobów lub subskrypcji, musisz utworzyć nową tożsamość zarządzaną przypisaną przez użytkownika i przypisać do niej niezbędne uprawnienia.

Czy tokeny tożsamości zarządzanych są buforowane?

Tokeny tożsamości zarządzanej są buforowane przez podstawową infrastrukturę platformy Azure na potrzeby wydajności i odporności: usługi zaplecza dla tożsamości zarządzanych utrzymują pamięć podręczną na identyfikator URI zasobu przez około 24 godziny. Może upłynąć kilka godzin, aby zmiany uprawnień tożsamości zarządzanej zaczęły obowiązywać, na przykład. Obecnie nie można wymusić odświeżenia tokenu tożsamości zarządzanej przed jego wygaśnięciem. Aby uzyskać więcej informacji, zobacz Ograniczenie używania tożsamości zarządzanych do autoryzacji.

Czy tożsamości zarządzane są usuwane nietrwale?

Tak, tożsamości zarządzane są usuwane nietrwale przez 30 dni. Możesz wyświetlić nietrwale usuniętą jednostkę usługi tożsamości zarządzanej, ale nie można jej przywrócić ani trwale usunąć.

Co się stanie z tokenami po usunięciu tożsamości zarządzanej?

Po usunięciu tożsamości zarządzanej zasób platformy Azure, który był wcześniej skojarzony z tą tożsamością, nie może już żądać nowych tokenów dla tej tożsamości. Tokeny, które zostały wystawione przed usunięciem tożsamości, będą nadal ważne do czasu ich pierwotnego wygaśnięcia. Niektóre systemy autoryzacji docelowych punktów końcowych mogą przeprowadzać inne kontrole w katalogu dla tożsamości, w tym przypadku żądanie kończy się niepowodzeniem, ponieważ nie można odnaleźć obiektu. Jednak niektóre systemy, takie jak kontrola dostępu na podstawie ról platformy Azure, będą nadal akceptować żądania z tego tokenu do momentu wygaśnięcia.

Następne kroki

• Dowiedz się , jak tożsamości zarządzane działają z maszynami wirtualnymi