Поделиться через


Создание удостоверения, назначаемого пользователем для SCOM Управляемый экземпляр Azure Monitor

В этой статье описывается, как создать удостоверение, назначаемое пользователем, предоставить администратору доступ к Управляемый экземпляр SQL Azure и предоставить доступ к get and List в хранилище ключей.

Примечание.

Сведения об архитектуре SCOM Управляемый экземпляр Azure Monitor см. в Управляемый экземпляр Azure Monitor SCOM.

Создание управляемого удостоверения службы

Управляемое удостоверение службы (MSI) предоставляет удостоверение для приложений, используемых при подключении к ресурсам, поддерживающим проверку подлинности Идентификатора Microsoft Entra. Для SCOM Управляемый экземпляр управляемое удостоверение заменяет традиционные четыре учетные записи службы System Center Operations Manager. Он используется для доступа к базе данных Управляемый экземпляр SQL Azure. Он также используется для доступа к хранилищу ключей.

Примечание.

  • Убедитесь, что вы являетесь участником подписки, в которой создается MSI.
  • MSI должен иметь разрешение администратора на Управляемый экземпляр SQL и разрешение на чтение в хранилище ключей, используемом для хранения учетных данных учетной записи домена.
  1. Войдите на портал Azure. Найдите и выберите управляемые удостоверения.

    Снимок экрана: значок управляемых удостоверений в портал Azure.

  2. На странице управляемых удостоверений нажмите кнопку "Создать".

    Снимок экрана: управляемое удостоверение.

    Откроется панель создания управляемого удостоверения , назначаемого пользователем.

  3. В разделе "Основы" выполните следующие действия.

    • Сведения о проекте:
      • Подписка. Выберите подписку Azure, в которой вы хотите создать SCOM Управляемый экземпляр.
      • Группа ресурсов: выберите группу ресурсов, в которой требуется создать SCOM Управляемый экземпляр.
    • Сведения об экземпляре:
      • Регион: выберите регион, в котором нужно создать SCOM Управляемый экземпляр.
      • Имя: введите имя для экземпляра.

    Снимок экрана: сведения о проекте и экземпляре управляемого удостоверения, назначаемого пользователем.

  4. Нажмите кнопку "Далее": теги.

  5. На вкладке "Теги" введите значение "Имя" и выберите ресурс.

    Теги помогают классифицировать ресурсы и просматривать консолидированное выставление счетов, применяя одни и те же теги к нескольким ресурсам и группам ресурсов. Дополнительные сведения см. в статье Использование тегов для упорядочивания ресурсов Azure и создания иерархии управления.

  6. По завершении выберите Next: Отзыв и создание.

  7. На вкладке "Просмотр и создание " просмотрите все предоставленные сведения и нажмите кнопку "Создать".

    Снимок экрана: вкладка для просмотра управляемого удостоверения перед созданием.

Развертывание теперь создается в Azure. Вы можете получить доступ к ресурсу и просмотреть его сведения.

Установка значения администратора Microsoft Entra в управляемом экземпляре SQL

Чтобы задать значение администратора Microsoft Entra в управляемом экземпляре SQL, созданном на шаге 3, выполните следующие действия.

Примечание.

Для выполнения следующих операций необходимо иметь разрешения администратора привилегированных ролей для подписки.

Внимание

Использование групп в качестве администратора Microsoft Entra в настоящее время не поддерживается.

  1. Откройте управляемый экземпляр SQL. В разделе "Параметры" выберите администратора Microsoft Entra.

    Снимок экрана: панель сведений администратора Microsoft Entra.

  2. Выберите сообщение об ошибке, чтобы предоставить разрешения на чтение управляемому экземпляру SQL в идентификаторе Microsoft Entra. Откроется область предоставления разрешений, чтобы предоставить разрешения.

    Снимок экрана: предоставление разрешений.

  3. Выберите "Предоставить разрешения" для запуска операции и после его завершения вы можете найти уведомление об успешном обновлении разрешений на чтение Microsoft Entra.

    Снимок экрана: разрешения на чтение.

  4. Выберите " Задать администратора" и найдите MSI. Этот MSI-файл совпадает с тем, что вы предоставили во время потока создания SCOM Управляемый экземпляр. Администратор был добавлен в управляемый экземпляр SQL.

    Снимок экрана: сведения о MSI для Microsoft Entra.

  5. Если после добавления учетной записи управляемого удостоверения возникает ошибка, это означает, что разрешения на чтение еще не предоставлены вашему удостоверению. Прежде чем создавать SCOM Управляемый экземпляр или создавать Управляемый экземпляр SCOM, обязательно предоставьте необходимые разрешения.

    Снимок экрана: успешная проверка подлинности Microsoft Entra.

Дополнительные сведения о разрешениях см . в разделе "Читатели каталогов" в идентификаторе Microsoft Entra для SQL Azure.

Предоставление разрешения на хранилище ключей

Чтобы предоставить разрешение на хранилище ключей, созданное на шаге 4, выполните следующие действия.

  1. Перейдите к ресурсу хранилища ключей, созданному на шаге 4 , и выберите политики Access.

  2. На странице "Политики доступа" нажмите кнопку "Создать".

    Снимок экрана: страница

  3. На вкладке "Разрешения" выберите параметры "Получить " и "Список ".

    Снимок экрана: страница

  4. Выберите Далее.

  5. На вкладке "Субъект" введите имя созданного MSI.

  6. Выберите Далее. Выберите тот же MSI, который использовался в конфигурации администратора Управляемый экземпляр SQL.

    Снимок экрана: вкладка

  7. Нажмите кнопку "Далее>создать".

Следующие шаги