Share via

Настройка управляемого удостоверения для центра разработки

  • Статья

В этом руководстве объясняется, как добавить и настроить управляемое удостоверение для центра разработки в средах развертывания Azure, чтобы обеспечить безопасное развертывание для команд разработчиков.

Среды развертывания Azure используют управляемые удостоверения, чтобы предоставить группам разработчиков возможности самостоятельного развертывания, не предоставляя им доступ к подпискам, в которых создаются ресурсы Azure. Управляемое удостоверение добавляет возможности с повышенными привилегиями и безопасную проверку подлинности в любую службу, которая поддерживает проверку подлинности Microsoft Entra.

Управляемое удостоверение, подключенное к центру разработки, должно быть назначено роль участника и роль участника Администратор istrator в подписках развертывания для каждого типа среды. При запросе развертывания среды служба предоставляет соответствующие разрешения удостоверениям развертывания, настроенным для типа среды, для развертывания от имени пользователя. Управляемое удостоверение, присоединенное к центру разработки, также используется для добавления в каталог и доступа к определениям среды в каталоге.

Добавление управляемого удостоверения

В средах развертывания Azure можно выбрать два типа управляемых удостоверений:

  • Назначаемое системой удостоверение: удостоверение, назначаемое системой, привязано либо к центру разработки, либо к типу среды проекта. Удостоверение, назначаемое системой, удаляется при удалении подключенного ресурса. Центр разработки или тип среды проекта может иметь только одно назначаемое системой удостоверение.
  • Назначаемое пользователем удостоверение: назначаемое пользователем удостоверение — это автономный ресурс Azure, который можно назначить центру разработки или типу среды проекта. Для сред развертывания Azure центр разработки или тип среды проекта может иметь только одно удостоверение, назначаемое пользователем.

В качестве рекомендации по обеспечению безопасности, если вы решили использовать удостоверения, назначенные пользователем, используйте разные удостоверения для проекта и центра разработки. Удостоверения проекта должны иметь более ограниченный доступ к ресурсам по сравнению с центром разработки.

Примечание.

В средах развертывания Azure при добавлении удостоверения, назначаемого системой, и удостоверения, назначаемого пользователем, используется только назначаемое пользователем удостоверение.

Добавление управляемого удостоверения, назначаемого системой

  1. Войдите в портал Azure и перейдите в среды развертывания Azure.

  2. В центрах разработки выберите центр разработки.

  3. В меню слева в разделе Параметры выберите "Удостоверение".

  4. В разделе Назначенные системой задайте для параметра Состояние значение Включено.

  5. Выберите Сохранить.

    Screenshot that shows the system-assigned managed identity.

  6. В диалоговом окне "Включить назначенное системой управляемое удостоверение" нажмите кнопку "Да".

Добавление управляемого удостоверения, назначаемого пользователем

  1. Войдите в портал Azure и перейдите в среды развертывания Azure.

  2. В центрах разработки выберите центр разработки.

  3. В меню слева в разделе Параметры выберите "Удостоверение".

  4. В разделе "Назначаемый пользователем" выберите "Добавить " для присоединения существующего удостоверения.

    Screenshot that shows the user-assigned managed identity.

  5. При добавлении управляемого удостоверения, назначаемого пользователем, введите или выберите следующие сведения:

    1. В подписке выберите подписку, в которой существует удостоверение.
    2. Назначаемые пользователем управляемые удостоверения выберите существующее удостоверение.
    3. Выберите Добавить.

Назначение роли подписки

Удостоверение, подключенное к центру разработки, должно быть назначено роли участника и доступа пользователей Администратор istrator для всех подписок развертывания и роли читателя для всех подписок, содержащих соответствующий проект. Когда пользователь создает или развертывает среду, служба предоставляет соответствующий доступ к идентификатору развертывания, подключенному к типу среды проекта. Удостоверение развертывания использует доступ для выполнения развертываний от имени пользователя. Управляемое удостоверение позволяет разработчикам создавать среды без предоставления им доступа к подписке.

Добавление назначения ролей в управляемое удостоверение, назначаемое системой

  1. В портал Azure перейдите в центр разработки в средах развертывания Azure.

  2. В меню слева в разделе Параметры выберите "Удостоверение".

  3. В разделе "Назначенные>системой разрешения" выберите назначения ролей Azure.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Чтобы предоставить участнику доступ к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Имя. Значение
    Область применения Отток подписок
    Подписка Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Роль Участник

  5. Чтобы предоставить пользователю доступ Администратор istrator к подписке, выберите добавить назначение ролей (предварительная версия), введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Имя. Значение
    Область применения Отток подписок
    Подписка Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Роль Администратор доступа пользователей

Добавление назначения ролей в управляемое удостоверение, назначаемое пользователем

  1. В портал Azure перейдите в центр разработки.

  2. В меню слева в разделе Параметры выберите "Удостоверение".

  3. В разделе "Назначаемый пользователем" выберите удостоверение.

  4. В меню слева выберите назначения ролей Azure.

  5. Чтобы предоставить участнику доступ к подписке, выберите "Добавить назначение ролей (предварительная версия)", введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Имя. Значение
    Область применения Отток подписок
    Подписка Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Роль Участник

  6. Чтобы предоставить пользователю доступ Администратор istrator к подписке, выберите добавить назначение ролей (предварительная версия), введите или выберите следующие сведения, а затем нажмите кнопку "Сохранить".

    Имя. Значение
    Область применения Отток подписок
    Подписка Выберите подписку, в которой будет использоваться управляемое удостоверение.
    Роль Администратор доступа пользователей

Предоставление управляемому удостоверению доступа к секрету хранилища ключей

Вы можете настроить хранилище ключей для использования политики доступа к хранилищу ключей или управления доступом на основе ролей Azure.

Примечание.

Прежде чем добавить репозиторий в качестве каталога, необходимо предоставить управляемому удостоверению доступ к секрету хранилища ключей, содержащему личный маркер доступа репозитория.

Политика доступа к хранилищу ключей

Если хранилище ключей настроено для использования политики доступа к хранилищу ключей:

  1. В портал Azure перейдите в хранилище ключей, содержащее секрет с личным маркером доступа.

  2. В меню слева выберите политики доступа и нажмите кнопку "Создать".

  3. В поле "Создание политики доступа" введите или выберите следующие сведения:

    1. На вкладке "Разрешения" в разделе "Разрешения секрета" выберите поле "Получить проверка", а затем нажмите кнопку "Далее".
    2. На вкладке "Субъект" выберите удостоверение, подключенное к центру разработки.
    3. Выберите Проверить и создать, а затем выберите Создать.

Управление доступом на основе ролей Azure

Если хранилище ключей настроено для использования управления доступом на основе ролей Azure:

  1. В портал Azure перейдите в хранилище ключей, содержащее секрет с личным маркером доступа.

  2. В меню слева выберите элемент управления доступом (IAM).

  3. Выберите удостоверение и в меню слева выберите назначения ролей Azure.

  4. Выберите " Добавить назначение ролей", а затем введите или выберите следующие сведения:

    1. Для области выберите хранилище ключей.
    2. Для подписки выберите подписку, содержащую хранилище ключей.
    3. Для ресурса выберите хранилище ключей.
    4. Для роли выберите "Пользователь секретов Key Vault".
    5. Выберите Сохранить.

Связанный контент