Hanterade identiteter i Azure Container Apps

Med en hanterad identitet från Microsoft Entra-ID kan din containerapp komma åt andra Microsoft Entra-skyddade resurser. Mer information om hanterade identiteter i Microsoft Entra-ID finns i Hanterade identiteter för Azure-resurser.

Containerappen kan beviljas två typer av identiteter:

• En systemtilldelad identitet är kopplad till containerappen och tas bort när containerappen tas bort. En app kan bara ha en systemtilldelad identitet.
• En användartilldelad identitet är en fristående Azure-resurs som du kan tilldela till din containerapp och andra resurser. En containerapp kan ha flera användartilldelade identiteter. Användartilldelade identiteter finns tills du tar bort dem.

Varför ska jag använda en hanterad identitet?

Du kan använda en hanterad identitet i en containerapp som körs för att autentisera till alla tjänster som stöder Microsoft Entra-autentisering.

Med hanterade identiteter:

• Appen ansluter till resurser med den hanterade identiteten. Du behöver inte hantera autentiseringsuppgifter i containerappen.
• Du kan använda rollbaserad åtkomstkontroll för att bevilja specifika behörigheter till en hanterad identitet.
• Systemtilldelade identiteter skapas och hanteras automatiskt. De tas bort när din containerapp tas bort.
• Du kan lägga till och ta bort användartilldelade identiteter och tilldela dem till flera resurser. De är oberoende av containerappens livscykel.
• Du kan använda hanterad identitet för att autentisera med ett privat Azure Container Registry utan användarnamn och lösenord för att hämta containrar för din containerapp.
• Du kan använda en hanterad identitet för att skapa anslutningar för Dapr-aktiverade program via Dapr-komponenter

Vanliga användningsfall

Systemtilldelade identiteter passar bäst för arbetsbelastningar som:

• finns i en enskild resurs
• behöver oberoende identiteter

Användartilldelade identiteter är idealiska för arbetsbelastningar som:

• körs på flera resurser och kan dela en enda identitet
• behöver förhandsauktorisering till en säker resurs

Begränsningar

Init-containrar kan inte komma åt hanterade identiteter i miljöer med endast förbrukning och dedikerade arbetsbelastningsprofilmiljöer

Konfigurera hanterade identiteter

Du kan konfigurera dina hanterade identiteter genom att:

• Azure-portalen
• Azure CLI
• din ARM-mall (Azure Resource Manager)

När en hanterad identitet läggs till, tas bort eller ändras i en containerapp som körs startas inte appen om automatiskt och ingen ny revision skapas.

Kommentar

När du lägger till en hanterad identitet i en containerapp som distribuerats före den 11 april 2022 måste du skapa en ny revision.

Lägga till en systemtilldelad identitet

Azure-portalen

1. Gå till containerappen i Azure-portalen.

2. I gruppen Inställningar väljer du Identitet.

3. På fliken Systemtilldelat växlar du Status till På.

4. Välj Spara.

Azure CLI

az containerapp identity assign Kör kommandot för att skapa en systemtilldelad identitet:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

ARM-mall

En ARM-mall kan användas för att automatisera distributionen av din containerapp och dina resurser. Lägg till en systemtilldelad identitet genom att lägga till ett identity avsnitt i ARM-mallen.

"identity": {
    "type": "SystemAssigned"
}

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för ditt program. Ett fullständigt ARM-mallexempel finns i ARM API-specifikation.

YAML

Vissa Azure CLI-kommandon, inklusive az containerapp create och az containerapp job create, stöder YAML-filer för indata. Om du vill lägga till en systemtilldelad identitet lägger du till ett identity avsnitt i YAML-filen.

identity:
  type: SystemAssigned

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för ditt program. Ett fullständigt YAML-mallexempel finns i ARM API-specifikation.

Bicep

En Bicep-mall kan användas för att automatisera distributionen av din containerapp och dina resurser. Om du vill lägga till en systemtilldelad identitet lägger du till ett identity avsnitt i Bicep-mallen.

identity: {
  type: 'SystemAssigned'
}

Om du lägger till den systemtilldelade typen uppmanas Azure att skapa och hantera identiteten för ditt program. Ett fullständigt Bicep-mallexempel finns i Microsoft.App containerApps Bicep, ARM-mall och Terraform AzAPI-referens.

Lägga till en användartilldelad identitet

Om du konfigurerar en containerapp med en användartilldelad identitet måste du först skapa identiteten och sedan lägga till dess resursidentifierare i containerappens konfiguration. Du kan skapa användartilldelade identiteter via Azure-portalen eller Azure CLI. Information om hur du skapar och hanterar användartilldelade identiteter finns i Hantera användartilldelade hanterade identiteter.

Azure-portalen

Först måste du skapa en användartilldelad identitetsresurs.

1. Skapa en användartilldelad hanterad identitetsresurs enligt stegen i Hantera användartilldelade hanterade identiteter.

2. Gå till containerappen i Azure-portalen.

3. I gruppen Inställningar väljer du Identitet.

4. På fliken Användartilldelade väljer du Lägg till.

5. Sök efter och välj den identitet som du skapade tidigare.

6. Markera Lägga till.

Azure CLI

1. Skapa en användartilldelad identitet.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Observera egenskapen för id den nya identiteten.

2. az containerapp identity assign Kör kommandot för att tilldela identiteten till appen. Parametern identities är en blankstegsavgränsad lista.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Ersätt <IDENTITY_RESOURCE_ID> med id identitetens egenskap. Om du vill tilldela mer än en användartilldelad identitet anger du en blankstegsavgränsad lista över identitets-ID:t till parametern --user-assigned .

ARM-mall

Om du vill lägga till en eller flera användartilldelade identiteter lägger du till ett identity avsnitt i ARM-mallen. Ersätt <IDENTITY1_RESOURCE_ID> och <IDENTITY2_RESOURCE_ID> med resursidentifierarna för de identiteter som du vill lägga till.

Ange varje användartilldelad identitet genom att lägga till ett objekt i userAssignedIdentities objektet med identitetens resursidentifierare som nyckel. Använd ett tomt objekt som värde.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Ett fullständigt ARM-mallexempel finns i ARM API-specifikation.

Kommentar

Ett program kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I det här fallet skulle värdet för type egenskapen vara SystemAssigned,UserAssigned.

YAML

Om du vill lägga till en eller flera användartilldelade identiteter lägger du till ett identity avsnitt i YAML-konfigurationsfilen. Ersätt <IDENTITY1_RESOURCE_ID> och <IDENTITY2_RESOURCE_ID> med resursidentifierarna för de identiteter som du vill lägga till.

Ange varje användartilldelad identitet genom att lägga till ett objekt i userAssignedIdentities objektet med identitetens resursidentifierare som nyckel. Använd ett tomt objekt som värde.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Ett fullständigt YAML-mallexempel finns i ARM API-specifikation.

Kommentar

Ett program kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I det här fallet skulle egenskapen type vara SystemAssigned,UserAssigned.

Bicep

Om du vill lägga till en eller flera användartilldelade identiteter lägger du till ett identity avsnitt i Bicep-mallen. Ersätt <IDENTITY1_RESOURCE_ID> och <IDENTITY2_RESOURCE_ID> med resursidentifierarna för de identiteter som du vill lägga till.

Ange varje användartilldelad identitet genom att lägga till ett objekt i userAssignedIdentities objektet med identitetens resursidentifierare som nyckel. Använd ett tomt objekt som värde.

identity: {
  type: 'UserAssigned'
  userAssignedIdentities: {
    <IDENTITY1_RESOURCE_ID>: {}
    <IDENTITY2_RESOURCE_ID>: {}
  }
}

Ett fullständigt Bicep-mallexempel finns i Microsoft.App containerApps Bicep, ARM-mall och Terraform AzAPI-referens.

Kommentar

Ett program kan ha både systemtilldelade och användartilldelade identiteter samtidigt. I det här fallet skulle egenskapen type vara SystemAssigned,UserAssigned.

Konfigurera en målresurs

För vissa resurser måste du konfigurera rolltilldelningar för appens hanterade identitet för att bevilja åtkomst. Annars avvisas anrop från din app till tjänster, till exempel Azure Key Vault och Azure SQL Database, även när du använder en giltig token för den identiteten. Mer information om rollbaserad åtkomstkontroll i Azure (Azure RBAC) finns i Vad är RBAC?. Mer information om vilka resurser som stöder Microsoft Entra-token finns i Azure-tjänster som stöder Microsoft Entra-autentisering.

Viktigt!

Serverdelstjänsterna för hanterade identiteter underhåller en cache per resurs-URI i cirka 24 timmar. Om du uppdaterar åtkomstprincipen för en viss målresurs och omedelbart hämtar en token för den resursen kan du fortsätta att hämta en cachelagrad token med inaktuella behörigheter tills token upphör att gälla. Det går inte att tvinga fram en tokenuppdatering.

Ansluta till Azure-tjänster i appkod

Med hanterade identiteter kan en app hämta token för åtkomst till Azure-resurser som använder Microsoft Entra-ID, till exempel Azure SQL Database, Azure Key Vault och Azure Storage. Dessa token representerar programmet som kommer åt resursen och inte någon specifik användare av programmet.

Container Apps tillhandahåller en internt tillgänglig REST-slutpunkt för att hämta token. REST-slutpunkten är tillgänglig inifrån appen med en http-standardbegäran GET som du kan skicka med en generisk HTTP-klient på önskat språk. För .NET, JavaScript, Java och Python tillhandahåller Azure Identity-klientbiblioteket en abstraktion över den här REST-slutpunkten. Du kan ansluta till andra Azure-tjänster genom att lägga till ett autentiseringsobjekt till den tjänstspecifika klienten.

Kommentar

När du använder Azure Identity-klientbiblioteket måste du uttryckligen ange det användartilldelade klient-ID:t för hanterad identitet.

.NET

Kommentar

När du ansluter till Azure SQL-datakällor med Entity Framework Core bör du överväga att använda Microsoft.Data.SqlClient, som tillhandahåller särskilda niska veze för hanterad identitetsanslutning.

För .NET-appar är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för .NET. Se följande resurser för mer information:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det här objektet är effektivt i de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

JavaScript

För Node.js appar är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för JavaScript. Se följande resurser för mer information:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det här objektet är effektivt i de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Fler kodexempel på Azure Identity-klientbiblioteket för JavaScript finns i Azure Identity-exempel.

Python

För Python-appar är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Python. Se följande resurser för mer information:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det här objektet är effektivt i de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Java

För Java-appar och -funktioner är det enklaste sättet att arbeta med en hanterad identitet via Azure Identity-klientbiblioteket för Java. Se följande resurser för mer information:

• Lägga till Azure Identity-klientbibliotek i projektet
• Få åtkomst till Azure-tjänsten med en systemtilldelad identitet
• Få åtkomst till Azure-tjänsten med en användartilldelad identitet

De länkade exemplen använder DefaultAzureCredential. Det här objektet är effektivt i de flesta scenarier eftersom samma mönster fungerar i Azure (med hanterade identiteter) och på din lokala dator (utan hanterade identiteter).

Fler kodexempel på Azure Identity-klientbiblioteket för Java finns i Azure Identity Examples (Azure Identity Examples).

PowerShell

Använd följande skript för att hämta en token från den lokala slutpunkten genom att ange en resurs-URI för en Azure-tjänst. Ersätt platshållaren med resurs-URI:n för att hämta token.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

En rå HTTP-begäran GET ser ut som i följande exempel.

Hämta tokenslutpunkts-URL:en från IDENTITY_ENDPOINT miljövariabeln. x-identity-header innehåller det GUID som lagras i IDENTITY_HEADER miljövariabeln.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Ett svar kan se ut som i det här exemplet:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Det här svaret är detsamma som svaret för begäran om åtkomsttoken för Microsoft Entra service-to-service. För att få åtkomst till Key Vault lägger du till värdet access_token för till en klientanslutning till valvet.

REST-slutpunktsreferens

En containerapp med en hanterad identitet exponerar identitetsslutpunkten genom att definiera två miljövariabler:

• IDENTITY_ENDPOINT: Lokal URL som containerappen kan begära token från.
• IDENTITY_HEADER: Ett huvud som används för att minimera SSRF-attacker (serversidans begärandeförfalskning). Värdet roteras av plattformen.

Om du vill hämta en token för en resurs gör du en HTTP-begäran GET till slutpunkten, inklusive följande parametrar:

Parameternamn	I	beskrivning
resource	Fråga	Microsoft Entra-resurs-URI:n för resursen som en token ska hämtas för. Resursen kan vara en av de Azure-tjänster som stöder Microsoft Entra-autentisering eller någon annan resurs-URI.
api-version	Fråga	Den version av token-API:et som ska användas. Använd "2019-08-01" eller senare.
X-IDENTITY-HEADER	Header	Värdet för IDENTITY_HEADER miljövariabeln. Det här huvudet minimerar SSRF-attacker (request forgery) på serversidan.
client_id	Fråga	(Valfritt) Klient-ID för den användartilldelade identitet som ska användas. Det går inte att använda på en begäran som innehåller principal_id, mi_res_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
principal_id	Fråga	(Valfritt) Huvud-ID för den användartilldelade identitet som ska användas. object_id är ett alias som kan användas i stället. Det går inte att använda på en begäran som innehåller client_id, mi_res_id eller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.
mi_res_id	Fråga	(Valfritt) Azure-resurs-ID för den användartilldelade identitet som ska användas. Det går inte att använda på en begäran som innehåller principal_id, client_ideller object_id. Om alla ID-parametrar (client_id, principal_id, object_idoch mi_res_id) utelämnas används den systemtilldelade identiteten.

Viktigt!

Om du försöker hämta token för användartilldelade identiteter måste du inkludera en av de valfria egenskaperna. Annars försöker tokentjänsten hämta en token för en systemtilldelad identitet, som kanske eller kanske inte finns.

Använda hanterad identitet för skalningsregler

Du kan använda hanterade identiteter i dina skalningsregler för att autentisera med Azure-tjänster som stöder hanterade identiteter. Om du vill använda en hanterad identitet i skalningsregeln använder du identity egenskapen i stället för auth egenskapen i skalningsregeln. Godkända värden för egenskapen är antingen Azure-resurs-ID för identity en användartilldelad identitet eller system för att använda en systemtilldelad identitet.

Kommentar

Hanterad identitetsautentisering i skalningsregler finns i offentlig förhandsversion. Den är tillgänglig i API-versionen 2024-02-02-preview.

Följande ARM-mallexempel visar hur du använder en hanterad identitet med en Skalningsregel för Azure Queue Storage:

Kölagringskontot använder accountName egenskapen för att identifiera lagringskontot, medan identity egenskapen anger vilken hanterad identitet som ska användas. Du behöver inte använda egenskapen auth .

"scale": {
    "minReplicas": 1,
    "maxReplicas": 10,
    "rules": [{
        "name": "myQueueRule",
        "azureQueue": {
            "accountName": "mystorageaccount",
            "queueName": "myqueue",
            "queueLength": 2,
            "identity": "<IDENTITY1_RESOURCE_ID>"
        }
    }]
}

Mer information om hur du använder hanterad identitet med skalningsregler finns i Ange skalningsregler i Azure Container Apps.

Kontrollera tillgängligheten för hanterad identitet

Med Container Apps kan du ange init-containrar och huvudcontainrar. Som standard kan både huvudcontainrar och init-containrar i en förbrukningsprofilmiljö använda hanterad identitet för att få åtkomst till andra Azure-tjänster. I miljöer med endast förbrukning och dedikerade arbetsbelastningsprofilmiljöer kan endast huvudcontainrar använda hanterad identitet. Åtkomsttoken för hanterade identiteter är tillgängliga för varje hanterad identitet som konfigurerats i containerappen. I vissa situationer kräver dock endast init-containern eller huvudcontainern åtkomsttoken för en hanterad identitet. Andra gånger kan du använda en hanterad identitet endast för att komma åt ditt Azure Container Registry för att hämta containeravbildningen, och själva programmet behöver inte ha åtkomst till Azure Container Registry.

Från och med API-versionen 2024-02-02-previewkan du styra vilka hanterade identiteter som är tillgängliga för containerappen under init- och huvudfaserna för att följa säkerhetsprincipen för lägsta behörighet. Följande alternativ är tillgängliga:

• Init: Endast tillgängligt för init-containrar. Använd detta när du vill utföra initieringsarbete som kräver en hanterad identitet, men du inte längre behöver den hanterade identiteten i huvudcontainern. Det här alternativet stöds för närvarande endast i arbetsbelastningsprofilens förbrukningsmiljöer
• Main: Endast tillgängligt för huvudcontainrar. Använd detta om din init-container inte behöver hanterad identitet.
• All: Tillgänglig för alla containrar. Det här värdet är standard.
• None: Inte tillgängligt för några containrar. Använd detta när du har en hanterad identitet som endast används för ACR-avbildningshämtning, skalningsregler eller Key Vault-hemligheter och inte behöver vara tillgänglig för koden som körs i containrarna.

Följande ARM-mallexempel visar hur du konfigurerar en containerapp i en arbetsbelastningsprofilförbrukningsmiljö som:

• Begränsar containerappens systemtilldelade identitet till endast huvudcontainrar.
• Begränsar en specifik användartilldelad identitet till endast init-containrar.
• Använder en specifik användartilldelad identitet för Azure Container Registry-avbildningshämtning utan att tillåta att koden i containrarna använder den hanterade identiteten för att komma åt registret. I det här exemplet behöver inte själva containrarna komma åt registret.

Den här metoden begränsar de resurser som kan nås om en obehörig aktör skulle få obehörig åtkomst till containrarna.

{
    "location": "eastus2",
    "identity":{
    "type": "SystemAssigned, UserAssigned",
        "userAssignedIdentities": {
            "<IDENTITY1_RESOURCE_ID>":{},
            "<ACR_IMAGEPULL_IDENTITY_RESOURCE_ID>":{}
         }
     },
    "properties": {
        "workloadProfileName":"Consumption",
        "environmentId": "<CONTAINER_APPS_ENVIRONMENT_ID>",
        "configuration": {
            "registries": [
            {
                "server": "myregistry.azurecr.io",
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID"
            }],
            "identitySettings":[
            {
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID",
                "lifecycle": "None"
            },
            {
                "identity": "<IDENTITY1_RESOURCE_ID>",
                "lifecycle": "Init"
            },
            {
                "identity": "system",
                "lifecycle": "Main"
            }]
        },
        "template": {
            "containers":[
                {
                    "image":"myregistry.azurecr.io/main:1.0",
                    "name":"app-main"
                }
            ],
            "initContainers":[
                {
                    "image":"myregistry.azurecr.io/init:1.0",
                    "name":"app-init",
                }
            ]
        }
    }
}

Visa hanterade identiteter

Du kan visa de systemtilldelade och användartilldelade hanterade identiteterna med hjälp av följande Azure CLI-kommando. Utdata visar den hanterade identitetstypen, klient-ID:n och huvudnamns-ID:n för alla hanterade identiteter som tilldelats din containerapp.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Ta bort en hanterad identitet

När du tar bort en systemtilldelad identitet tas den bort från Microsoft Entra-ID. Systemtilldelade identiteter tas också bort automatiskt från Microsoft Entra-ID när du tar bort själva containerappresursen. Om du tar bort användartilldelade hanterade identiteter från containerappen tas de inte bort från Microsoft Entra-ID.

Azure-portalen

1. I det vänstra navigeringsfönstret på appens sida rullar du ned till gruppen Inställningar .

2. Välj Identitet. Följ sedan stegen baserat på identitetstypen:

   • Systemtilldelad identitet: På fliken Systemtilldelad växlar du Status till Av. Välj Spara.
   • Användartilldelad identitet: Välj fliken Användartilldelad , markera kryssrutan för identiteten och välj Ta bort. Välj Ja för att bekräfta.

Azure CLI

Så här tar du bort den systemtilldelade identiteten:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Så här tar du bort en eller flera användartilldelade identiteter:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Så här tar du bort alla användartilldelade identiteter:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

ARM-mall

Om du vill ta bort alla identiteter anger du type containerappens identitet till None i ARM-mallen:

"identity": {
    "type": "None"
}

YAML

Om du vill ta bort alla identiteter anger du type containerappens identitet till None i YAML-konfigurationsfilen:

identity:
    type: None

Bicep

Om du vill ta bort alla identiteter anger du type containerappens identitet till None i Bicep-mallen:

identity: {
  type: 'None'
}

Nästa steg

Övervaka en app