Использование управляемых удостоверений для Azure с azure Monitor SCOM Управляемый экземпляр
Распространенной проблемой при создании облачных приложений является безопасное управление учетными данными в коде для проверки подлинности различных служб без сохранения их локально на рабочей станции разработчика или в системе управления версиями.
Управляемые удостоверения для Azure решают эту проблему для всех ресурсов в Azure Active Directory, предоставляя им автоматически управляемые удостоверения. Удостоверение службы можно использовать для проверки подлинности любой службы, поддерживающей проверку подлинности Azure Active Directory, включая key vault, без сортировки учетных данных в коде.
Примечание
- Управляемые удостоверения для Azure — это новое имя службы, ранее известное как Управляемое удостоверение службы (MSI).
- Управляемые удостоверения для ресурсов Azure предоставляются бесплатно с Помощью Azure Active Directory для подписок Azure. Дополнительная плата не взимается.
Основные понятия
Управляемые удостоверения для Azure основаны на нескольких ключевых понятиях:
Идентификатор клиента — уникальный идентификатор, созданный Azure Active Directory, который привязан к приложению и субъекту-службе во время его первоначальной подготовки. Дополнительные сведения см. в разделе Идентификатор приложения (клиента).
Идентификатор субъекта — идентификатор объекта субъекта-службы для управляемого удостоверения, который используется для предоставления доступа на основе ролей к ресурсу Azure.
Субъект-служба — объект Azure Active Directory, представляющий проекцию приложения Azure Active Directory на данный клиент. Дополнительные сведения см. в разделе Субъект-служба.
Типы управляемых удостоверений
Существует два типа управляемых удостоверений.
Управляемое удостоверение, назначаемое системой: включено непосредственно в экземпляре службы Azure. Жизненный цикл назначаемого системой удостоверения уникален и зависит от экземпляра службы Azure, для которого такое удостоверение включено.
Управляемое удостоверение, назначаемое пользователем: создается как автономный ресурс Azure. Удостоверение можно назначить одному или нескольким экземплярам службы Azure и администрировать отдельно от жизненных циклов этих экземпляров.
Дополнительные сведения о типах управляемых удостоверений см. в статье Принцип работы управляемых удостоверений для ресурсов Azure.
Поддерживаемые сценарии для SCOM Управляемый экземпляр
SCOM Управляемый экземпляр поддерживает управляемое удостоверение, назначаемое системой, и управляемое удостоверение, назначаемое пользователем, для управляемых экземпляров SCOM, развернутых в Azure. SCOM Управляемый экземпляр создает другие ресурсы зависимостей, такие как кластер Масштабируемые наборы виртуальных машин (VMSS) для размещения серверов управления. SCOM Управляемый экземпляр подключение управляемых удостоверений с помощью HOBO версии 2, чтобы назначенное удостоверение было делегировано базовой инфраструктуре для проверки подлинности с помощью ресурсов приемника. Эти удостоверения используются для проверки подлинности других служб Azure в разных сценариях.
Управляемое удостоверение, назначаемое системой
- SCOM Управляемый экземпляр будет отправлять различные метрики работоспособности или производительности в службы кластера Geneva, отслеживая поведение экземпляра во время выполнения. Назначенное системой удостоверение, делегированное ресурсу SCOM Управляемый экземпляр, будет использоваться для проверки подлинности в службах кластеров Azure Geneva.
Управляемое удостоверение, назначаемое пользователем
Для Управляемый экземпляр SCOM управляемое удостоверение заменит традиционные четыре учетные записи службы System Center Operations Manager и будет использоваться для доступа к базе данных Управляемый экземпляр SQL. SCOM Управляемый экземпляр считывает и записывает данные мониторинга рабочих нагрузок клиента в базы данных управляемого экземпляра SQL. Назначенное пользователем удостоверение, назначенное ресурсу SCOM Управляемый экземпляр, будет использоваться для проверки подлинности с серверов System Center Operations Manager на Управляемый экземпляр SQL.
Процесс подключения Управляемый экземпляр SCOM принимает учетные данные пользователя домена, хранящиеся в хранилище ключей клиента. Доступ к секретам в хранилище ключей клиента осуществляется с помощью управляемого удостоверения, назначенного Управляемый экземпляр SCOM.
Во время подключения Управляемый экземпляр SCOM необходимо предоставить управляемое пользователем удостоверение, которое имеет доступ к хранилищу ключей клиента и Управляемый экземпляр SQL.
Создание управляемого удостоверения службы (MSI)
Создайте удостоверение управляемой службы и предоставьте ему правильный уровень доступа к ресурсу Azure.
Создание хранилища ключей и добавление учетных данных в качестве секрета в хранилище ключей
Сохраните учетную запись домена, созданную в Active Directory, в учетной записи хранилища ключей для обеспечения безопасности. Azure Key Vault — это облачная служба, которая предоставляет защищенное хранилище для ключей, секретов и сертификатов. Дополнительные сведения см. в статье Azure Key Vault.
- Создайте хранилище ключей.
- Создайте секрет для учетной записи домена.
- Назначьте роль читателя в этом хранилище ключей управляемому удостоверению службы (MSI). Дополнительные сведения см. в статье Назначение политики доступа к хранилищу ключей.
Задайте значение Администратор Active Directory в Управляемый экземпляр SQL
Задайте значение Администратор Active Directory в Управляемый экземпляр SQL.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по