Использование управляемых удостоверений для Конфигурации приложений Azure

  • Статья

В этом разделе показано, как создать управляемое удостоверение для службы "Конфигурация приложений Azure". Управляемое удостоверение из идентификатора Microsoft Entra позволяет Конфигурация приложений Azure легко получить доступ к другим защищенным ресурсам Microsoft Entra. Для управления этими удостоверениями используется платформа Azure, и для них не нужно подготавливать или изменять секреты. Дополнительные сведения об управляемых удостоверениях в идентификаторе Microsoft Entra см. в разделе "Управляемые удостоверения" для ресурсов Azure.

Приложению можно предоставить два типа удостоверений:

  • Назначаемое системой удостоверение связано с хранилищем конфигурации. Она удаляется вместе с хранилищем конфигурации. У хранилища конфигурации может быть только одно назначаемое системой удостоверение.
  • Назначаемое пользователем удостоверение — это изолированный ресурс Azure, который можно назначить хранилищу конфигурации. У хранилища конфигурации может быть несколько назначаемых пользователем удостоверений.

Добавление назначаемого системой удостоверения

Чтобы создать хранилище Конфигурации приложений с назначаемым системой удостоверением, необходимо задать в хранилище дополнительное свойство.

Использование Azure CLI

Чтобы настроить управляемое удостоверение с помощью Azure CLI, используйте команду az appconfig identity assign в существующем хранилище конфигураций. Примеры из этого раздела можно выполнять тремя способами:

  • использовать Azure Cloud Shell с портала Azure;
  • использовать внедренный компонент Azure Cloud Shell с помощью кнопки "Попробовать", расположенной в правом верхнем углу каждого блока кода ниже.
  • установить последнюю версию Azure CLI (2.1 или выше), если вы предпочитаете использовать локальную консоль CLI.

Ниже описаны действия по созданию хранилища Конфигурации приложений и присвоению удостоверения ему с помощью CLI.

  1. Если вы используете Azure CLI в локальной консоли, сначала выполните вход в Azure с помощью команды az login. Используйте ученую запись, связанную с вашей подпиской Azure:

    az login

  2. Создайте хранилище Конфигурации приложений с помощью CLI. Дополнительные примеры использования CLI с хранилищем Конфигурации приложений см. в этой статье.

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Выполните команду az appconfig identity assign, чтобы создать назначаемое системой удостоверение для этого хранилища конфигураций:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup

Добавление назначаемого пользователем удостоверения

Для создания хранилища Конфигурации приложений с назначаемым пользователем удостоверением необходимо создать удостоверение, а затем добавить его идентификатор ресурса в хранилище.

Примечание.

Управляемые удостоверения, назначаемые пользователем, можно добавить до 10 в хранилище Конфигурация приложений.

Использование Azure CLI

Чтобы настроить управляемое удостоверение с помощью Azure CLI, используйте команду az appconfig identity assign в существующем хранилище конфигураций. Примеры из этого раздела можно выполнять тремя способами:

  • использовать Azure Cloud Shell с портала Azure;
  • использовать внедренный компонент Azure Cloud Shell с помощью кнопки "Попробовать", расположенной в правом верхнем углу каждого блока кода ниже.
  • установить последнюю версию Azure CLI (2.0.31 или выше), если вы предпочитаете использовать локальную консоль CLI.

Ниже описаны действия по созданию назначаемого пользователем удостоверения и хранилища Конфигурации приложений и присвоению этого удостоверения хранилищу с помощью CLI.

  1. Если вы используете Azure CLI в локальной консоли, сначала выполните вход в Azure с помощью команды az login. Используйте ученую запись, связанную с вашей подпиской Azure:

    az login

  2. Создайте хранилище Конфигурации приложений с помощью CLI. Дополнительные примеры использования CLI с хранилищем Конфигурации приложений см. в этой статье.

    az group create --name myResourceGroup --location eastus
az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free

  3. Создайте назначаемое пользователем удостоверение myUserAssignedIdentity с помощью CLI.

    az identity create --resource-group myResourceGroup --name myUserAssignedIdentity

    В выходных данных этой команды обратите внимание на значение свойства id.

  4. Выполните команду az appconfig identity assign, чтобы присвоить новое назначаемое пользователем удостоверение этому хранилищу конфигураций: Используйте значение свойства id, записанное на предыдущем шаге.

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity

Удаление удостоверения

Чтобы удалить назначаемое системой удостоверение, отключите эту функцию с помощью команды az appconfig identity remove в Azure CLI. Назначаемые пользователем удостоверения можно удалить по отдельности. Удаление назначаемого системой удостоверения таким образом также удаляет его из идентификатора Microsoft Entra. Удостоверения, назначаемые системой, также автоматически удаляются из идентификатора Microsoft Entra при удалении ресурса приложения.

Следующие шаги

Создание приложения ASP.NET Core с помощью службы "Конфигурация приложений Azure"