Создание назначаемого пользователем удостоверения для azure Monitor SCOM Управляемый экземпляр

  • Статья

В этой статье описывается, как создать назначаемое пользователем удостоверение, предоставить доступ администратора к Управляемый экземпляр SQL Azure, а также предоставить доступ к хранилищу ключей get и list.

Примечание

Дополнительные сведения об архитектуре azure Monitor SCOM Управляемый экземпляр см. в статье Azure Monitor SCOM Управляемый экземпляр.

Создание управляемого удостоверения службы

Управляемое удостоверение службы (MSI) предоставляет удостоверение, используемое приложениями при подключении к ресурсам, поддерживающим Microsoft Entra ID проверку подлинности. Для SCOM Управляемый экземпляр управляемое удостоверение заменяет традиционные четыре учетные записи службы System Center Operations Manager. Он используется для доступа к базе данных Управляемый экземпляр SQL Azure. Он также используется для доступа к хранилищу ключей.

Примечание

  • Убедитесь, что вы являетесь участник в подписке, в которой вы создаете MSI.
  • Msi должен иметь разрешения администратора на Управляемый экземпляр SQL и чтение в хранилище ключей, которое используется для хранения учетных данных учетной записи домена.

  1. Войдите на портал Azure. Поиск для и выберите Управляемые удостоверения.

    Снимок экрана: значок для управляемых удостоверений в портал Azure.

  2. На странице Управляемые удостоверения выберите Создать.

    Снимок экрана: управляемое удостоверение.

    Откроется панель Создание управляемого удостоверения, назначаемого пользователем .

  3. В разделе Основные сведения выполните следующие действия.

    • Сведения о проекте.
      • Подписка. Выберите подписку Azure, в которой вы хотите создать Управляемый экземпляр SCOM.
      • Группа ресурсов. Выберите группу ресурсов, в которой вы хотите создать Управляемый экземпляр SCOM.
    • Сведения об экземпляре:
      • Регион. Выберите регион, в котором вы хотите создать Управляемый экземпляр SCOM.
      • Имя. Введите имя экземпляра.

    Снимок экрана: сведения о проекте и экземпляре управляемого удостоверения, назначаемого пользователем.

  4. По завершении выберите Next: Теги.

  5. На вкладке Теги введите значение Имя и выберите ресурс.

    Теги помогают классифицировать ресурсы и просматривать консолидированное выставление счетов, применяя одни и те же теги к нескольким ресурсам и группам ресурсов. Дополнительные сведения см. в статье Использование тегов для упорядочивания ресурсов Azure и создания иерархии управления.

  6. По завершении выберите Next: Отзыв и создание.

  7. На вкладке Просмотр и создание просмотрите все предоставленные сведения и нажмите кнопку Создать.

    Снимок экрана: вкладка для просмотра управляемого удостоверения перед созданием.

Развертывание теперь создано в Azure. Вы можете получить доступ к ресурсу и просмотреть его сведения.

Установка значения администратора Microsoft Entra в управляемом экземпляре SQL

Чтобы задать значение администратора Microsoft Entra в управляемом экземпляре SQL, созданном на шаге 3, выполните следующие действия.

Примечание

Для выполнения следующих операций подписка должна иметь разрешения глобального администратора или администратора привилегированных ролей.

Важно!

Использование групп в качестве администратора Microsoft Entra в настоящее время не поддерживается.

  1. Откройте управляемый экземпляр SQL. В разделе Параметры выберите Microsoft Entra администратор.

    Снимок экрана: панель сведений Microsoft Entra администратора.

  2. Выберите сообщение об ошибке, чтобы предоставить разрешения на чтение управляемому экземпляру SQL на Microsoft Entra ID. Откроется область предоставления разрешений для предоставления разрешений.

    Снимок экрана: предоставление разрешений.

  3. Выберите Предоставить разрешения, чтобы инициировать операцию, и после ее завершения вы сможете найти уведомление об успешном обновлении Microsoft Entra разрешений на чтение.

    Снимок экрана: разрешения на чтение.

  4. Выберите Задать администратора и найдите msi. Это тот же MSI, который вы указали во время процесса создания Управляемый экземпляр SCOM. Администратор добавлен в управляемый экземпляр SQL.

    Снимок экрана: сведения о MSI для Microsoft Entra.

  5. Если после добавления учетной записи управляемого удостоверения возникает ошибка, это означает, что разрешения на чтение еще не предоставлены вашему удостоверению. Перед созданием Управляемый экземпляр SCOM обязательно предоставьте необходимые разрешения, иначе создание Управляемый экземпляр SCOM завершится сбоем.

    Снимок экрана: успешная проверка подлинности Microsoft Entra.

Дополнительные сведения о разрешениях см. в статье Роль читателей каталогов в Microsoft Entra ID для Azure SQL.

Предоставление разрешения на хранилище ключей

Чтобы предоставить разрешение для хранилища ключей, созданного на шаге 4, выполните следующие действия.

  1. Перейдите к ресурсу хранилища ключей, созданному на шаге 4 , и выберите Политики доступа.

  2. На странице Политики доступа выберите Создать.

    Снимок экрана: страница

  3. На вкладке Разрешения выберите параметры Получить и Список .

    Снимок экрана: страница

  4. Выберите Далее.

  5. На вкладке Субъект введите имя созданного MSI.

  6. Выберите Далее. Выберите тот же MSI-файл, который использовался в конфигурации администратора Управляемый экземпляр SQL.

    Снимок экрана: вкладка

  7. Щелкните Далее>Создать.

Дальнейшие действия