Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Управляемые удостоверения избавляют разработчиков от необходимости управлять учетными данными.
Хотя разработчики могут безопасно хранить секреты в Azure Key Vault, службам требуется способ доступа к Azure Key Vault. Управляемые идентификаторы предоставляют автоматически управляемый идентификатор в Microsoft Entra ID, который приложения могут использовать при подключении к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra, и при этом им не нужно управлять учетными данными.
Ниже приведены некоторые преимущества использования управляемых идентификаций.
- Управлять учетными данными не нужно. Учетные данные даже не доступны для вас.
- Управляемые удостоверения можно использовать для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения.
- Управляемые удостоверения можно использовать без дополнительных затрат.
Типы управляемых удостоверений, доступные в Azure
Существует два типа управляемых учетных записей:
Назначено системой: некоторые типы ресурсов Azure, такие как База данных Azure для PostgreSQL, позволяют включить управляемое удостоверение непосредственно на ресурсе. Они называются управляемыми удостоверениями, назначенными системой. При включении управляемого удостоверения, назначаемого системой, выполните следующие действия.
Для идентичности создается учетная запись службы специального типа в Microsoft Entra ID. Принципал службы привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure, Azure автоматически удаляет служебный принципал для вас.
Только один конкретный ресурс Azure может использовать это удостоверение для получения токенов Microsoft Entra ID.
Вы можете авторизовать субъект-службу, связанный с управляемым удостоверением, для доступа к одной или нескольким службам.
Имя, назначенное субъекту-службе, связанному с управляемым удостоверением, всегда совпадает с именем ресурса Azure, для которого он создан.
Назначенный пользователем: некоторые типы ресурсов Azure также поддерживают назначение управляемых удостоверений, созданных пользователем в качестве независимых ресурсов. Жизненный цикл этих удостоверений не зависит от жизненного цикла ресурсов, которым они назначены. Их можно назначить нескольким ресурсам. При включении управляемого удостоверения, назначаемого пользователем, выполните следующие действия.
Для идентичности создается учетная запись службы специального типа в Microsoft Entra ID. Субъект-служба управляется отдельно от ресурсов, которые его используют.
Несколько ресурсов могут использовать назначенные пользователем удостоверения.
Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.
Использование управляемых удостоверений в Базе данных Azure для PostgreSQL
Управляемое удостоверение, назначаемое системой для Базы данных Azure для PostgreSQL используется для следующих целей:
-
azure_storage расширение при настройке доступа к учетной записи хранения с помощью
managed-identityтипа проверки подлинности. Дополнительные сведения см. в том, как настроить расширение azure_storage для использования авторизации с идентификатором Microsoft Entra. - Зеркальные базы данных Microsoft Fabric из Базы данных Azure для PostgreSQL (предварительная версия) используют учетные данные управляемого удостоверения, назначенного системой, для подписания запросов, которые ваш экземпляр гибкого сервера отправляет в службу Azure DataLake в Microsoft Fabric для зеркалирования назначенных баз данных.
Назначенные пользователем управляемые удостоверения, настроенные для гибкого экземпляра сервера Базы данных Azure для PostgreSQL, можно использовать для: