Använda en hanterad identitet i Azure Kubernetes Fleet Manager

Azure Kubernetes Fleet Manager använder en Microsoft Entra-identitet för att komma åt Azure-resurser som virtuella Azure-nätverk eller för att hantera långvariga bakgrundsaktiviteter som automatisk uppgradering med flera kluster.

Du kan använda en hanterad identitet för att auktorisera åtkomst från en Fleet Manager till alla tjänster som stöder Microsoft Entra-auktorisering, utan att behöva hantera autentiseringsuppgifter eller inkludera dem i koden. Du tilldelar en rollbaserad Åtkomstkontroll i Azure (Azure RBAC) till den hanterade identiteten för att ge den behörighet till en viss resurs i Azure. Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Den här artikeln visar hur du aktiverar följande typer av hanterade identiteter på en ny eller befintlig Azure Kubernetes Fleet Manager:

• Systemtilldelad hanterad identitet. En systemtilldelad hanterad identitet är associerad med en enda Azure-resurs, till exempel en Fleet Manager. Den finns endast för livscykeln för Fleet Manager.
• Användartilldelad hanterad identitet. En användartilldelad hanterad identitet är en fristående Azure-resurs som en Fleet Manager kan använda för att auktorisera åtkomst till andra Azure-tjänster. Den bevaras separat från Fleet Manager och kan användas av flera Azure-resurser.

Mer information om hanterade identiteter finns i Hanterade identiteter för Azure-resurser.

Innan du börjar

Om du tänker använda Azure CLI kontrollerar du att du har Azure CLI version 2.75.0 eller senare installerat. Kör az --version för att hitta versionen. Om du behöver installera eller uppgradera, se Installera Azure CLI.

Innan du kör Azure CLI-exemplen i den här artikeln anger du din prenumeration som den aktuella aktiva prenumerationen genom att anropa kommandot az account set och skicka in ditt prenumerations-ID.

az account set --subscription <subscription-id>

Skapa också en Azure-resursgrupp om du inte redan har en genom att anropa az group create kommandot.

az group create \
    --name myResourceGroup \
    --location westus2

Aktivera en systemtilldelad hanterad identitet

En systemtilldelad hanterad identitet är en identitet som är associerad med en Fleet Manager eller en annan Azure-resurs. Den systemtilldelade hanterade identiteten är kopplad till fleet managerns livscykel. När Fleet Manager tas bort tas även den systemtilldelade hanterade identiteten bort.

Fleet Manager kan använda den systemtilldelade hanterade identiteten för att auktorisera åtkomst till andra resurser som körs i Azure och köra långvariga bakgrundsprocesser. Du kan tilldela en Azure RBAC-roll till den systemtilldelade hanterade identiteten för att ge Fleet Manager behörighet att komma åt specifika resurser. Om din Fleet Manager till exempel behöver hantera nätverksresurser kan du tilldela den systemtilldelade hanterade identiteten en Azure RBAC-roll som ger dessa behörigheter.

Aktivera en systemtilldelad hanterad identitet på en ny Fleet Manager

Azure Portal

När du skapar en ny Fleet Manager i Azure-portalen skapas automatiskt en systemtilldelad hanterad identitet.

Du kan kontrollera att den systemtilldelade hanterade identiteten är aktiverad genom att kontrollera identitetsbladet i avsnittet Inställningar för Fleet Manager. Statusen är På och objektets (huvudnamn) ID fylls i (visas inte i bilden).

Azure CLI

Skapa en Fleet Manager med kommandot az fleet create och skicka parametern --enable-managed-identity för att aktivera den systemtilldelade hanterade identiteten.

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --location westus2 \
    --enable-managed-identity

Kommandoutdata anger att identitetstypen är SystemAssigned och innehåller huvud-ID:t och klientorganisationen.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Uppdatera en befintlig Fleet Manager för att använda en systemtilldelad hanterad identitet

Azure Portal

Du kan hantera den hanterade Fleet Manager-identiteten med hjälp av identitetsbladet i avsnittet Inställningar för Fleet Manager.

1. Aktivera den systemtilldelade hanterade identiteten genom att ange Systemtilldelad status till På och välja Spara.

   

2. Välj Ja i bekräftelsedialogrutan.

3. Efter en liten stund ändras Status till På och objektets (huvudnamn) ID fylls i (visas inte i bilden).

   

Azure CLI

Om du vill uppdatera en befintlig Fleet Manager för att använda en systemtilldelad hanterad identitet kör du kommandot az fleet update med parametern --enable-managed-identity inställd på true.

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity true

Kommandoutdata anger att identitetstypen är SystemAssigned och innehåller huvud-ID:t och klientorganisationen.

{
  "eTag": "\"13003f4b-0000-1b00-0000-68900c3c0000\"",
  "hubProfile": null,
  "id": "/subscriptions/<subscription-id>/resourceGroups/myResourceGroup/providers/Microsoft.ContainerService/fleets/myFleetName",
  "identity": {
    "principalId": "<principal-id>",
    "tenantId": "<tenant-id>",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
  },
  "location": "westus2",
  "name": "flt-mgr-02",
  "provisioningState": "Succeeded",
  "resourceGroup": "myResourceGroup",
  "status": {
    "lastOperationError": null,
    "lastOperationId": "d31e866c-a3d3-46ab-8a97-094bc4672d35"
  },
  "systemData": {
    "createdAt": "2025-08-04T01:26:17.588030+00:00",
    "createdBy": "",
    "createdByType": "User",
    "lastModifiedAt": "2025-08-04T01:26:17.588030+00:00",
    "lastModifiedBy": "",
    "lastModifiedByType": "User"
  },
  "tags": null,
  "type": "Microsoft.ContainerService/fleets"
}

Lägga till en rolltilldelning för en systemtilldelad hanterad identitet

Du kan tilldela en Azure RBAC-roll till den systemtilldelade hanterade identiteten för att bevilja Fleet Manager-behörigheter för en annan Azure-resurs. Azure RBAC stöder både inbyggda och anpassade rolldefinitioner som anger behörighetsnivåer. Mer information om hur du tilldelar Azure RBAC-roller finns i Steg för att tilldela en Azure-roll.

När du tilldelar en Azure RBAC-roll till en hanterad identitet måste du definiera omfånget för rollen. I allmänhet är det bästa praxis att begränsa omfånget för en roll till de minimiprivilegier som krävs av den hanterade identiteten. Mer information om omfång för Azure RBAC-roller finns i Förstå omfånget för Azure RBAC.

Anmärkning

Det kan ta upp till 60 minuter innan behörigheterna som beviljas till din Fleet Manager-hanterade identitet sprids.

Azure Portal

1. Välj fliken Azure-rolltilldelningar på Fleet Manager-identitetsbladet . Då öppnas fönstret Azure-rolltilldelningar .

   

2. Välj Lägg till rolltilldelning för att öppna fönstret Lägg till rolltilldelning och ange:

   • Omfång – välj Resursgrupp.

   • Prenumeration – välj den Azure-prenumeration som innehåller den resursgrupp som du vill använda.

   • Resursgrupp – välj resursgruppen.

   • Roll – välj den roll som du vill tilldela till Fleet Manager:s systemtilldelade hanterade identitet (till exempel nätverksdeltagare).

     

3. Välj Spara för att tilldela rollen till Fleet Manager:s systemtilldelade hanterade identitet.

Azure CLI

1. Hämta huvud-ID:t för den systemtilldelade hanterade identiteten

   För att tilldela en Azure RBAC-roll till en Fleet Managers systemtilldelade hanterade identitet behöver du först huvud-ID:t för den hanterade identiteten. Hämta huvud-ID:t för Fleet Manager:s systemtilldelade hanterade identitet genom att anropa az fleet show kommandot.

   # Get the principal ID for a system-assigned managed identity.
   CLIENT_ID=$(az fleet show \
       --name myFleetName \
       --resource-group myResourceGroup \
       --query identity.principalId \
       --output tsv)
   

2. Tilldela en Azure RBAC-roll till den systemtilldelade identiteten

   Om du vill ge en systemtilldelad hanterad identitet behörighet till en resurs i Azure anropar du az role assignment create kommandot för att tilldela en Azure RBAC-roll till den hanterade identiteten.

   Du kan till exempel tilldela rollen för Network Contributor den anpassade resursgruppen med kommandot az role assignment create . För parametern --scope anger du resurs-ID för resursgruppen för Fleet Manager.

   az role assignment create \
       --assignee $CLIENT_ID \
       --role "Network Contributor" \
       --scope "<fleet-manager-resource-group-id>"
   

Aktivera en användartilldelad hanterad identitet

En användartilldelad hanterad identitet är en fristående Azure-resurs. När du skapar en Fleet Manager med en användartilldelad hanterad identitet måste den användartilldelade hanterade identitetsresursen finnas innan Fleet Manager skapas.

Skapa en användartilldelad hanterad identitet

Om du ännu inte har en användartilldelad hanterad identitetsresurs skapar du en med hjälp av Azure-portalen eller Azure CLI.

Azure Portal

Följ stegen i dokumentationen för att skapa en användartilldelad hanterad identitet.

Azure CLI

1. Skapa en användartilldelad hanterad identitet.

   Om du ännu inte har en användartilldelad hanterad identitetsresurs skapar du en med kommandot az identity create .

   az identity create \
       --name myIdentity \
       --resource-group myResourceGroup
   

   Dina utdata bör likna följande exempelutdata:

   {                                  
     "clientId": "<client-id>",
     "clientSecretUrl": "<clientSecretUrl>",
     "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
     "location": "westus2",
     "name": "myIdentity",
     "principalId": "<principal-id>",
     "resourceGroup": "myResourceGroup",                       
     "tags": {},
     "tenantId": "<tenant-id>",
     "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
   }
   

2. Hämta huvud-ID:t för den användartilldelade hanterade identiteten

   Om du vill hämta huvud-ID:t för den hanterade identiteten som tilldelats användaren, anropar du az identity show och frågar efter principalId-egenskapen:

   CLIENT_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query principalId \
       --output tsv)
   

3. Hämta resurs-ID för den användartilldelade hanterade identiteten

   Om du vill skapa en Fleet Manager med en användartilldelad hanterad identitet behöver du resurs-ID:t för den nya hanterade identiteten. Om du vill hämta resurs-ID för den användartilldelade hanterade identiteten anropar du az identity show and query på id egenskapen:

   RESOURCE_ID=$(az identity show \
       --name myIdentity \
       --resource-group myResourceGroup \
       --query id \
       --output tsv)
   

Tilldela en Azure RBAC-roll till den användartilldelade hanterade identiteten

Innan du skapar Fleet Manager lägger du till en rolltilldelning för den hanterade identiteten.

Anmärkning

Det kan ta upp till 60 minuter innan behörigheterna som beviljas till din Fleet Manager-hanterade identitet sprids.

Azure Portal

1. Gå till resursen för hanterad identitet.

2. Välj fliken Azure-rolltilldelningar i den hanterade identitetsresursens vänstra navigering. Då öppnas fönstret Azure-rolltilldelningar .

   

3. Välj Lägg till rolltilldelning för att öppna fönstret Lägg till rolltilldelning och ange:

   • Omfång – välj Resursgrupp.

   • Prenumeration – välj den Azure-prenumeration som innehåller den resursgrupp som du vill använda.

   • Resursgrupp – välj resursgruppen.

   • Roll – välj den roll som du vill tilldela till den hanterade identiteten (till exempel Nätverksdeltagare).

     

4. Välj Spara för att tilldela rollen till den hanterade identiteten.

Azure CLI

az role assignment create Använd kommandot för att tilldela en roll till den användartilldelade hanterade identiteten.

I följande exempel tilldelas rollen Nätverksdeltagare för att bevilja identitetsbehörigheter för åtkomst till nätverksresurser. Rolltilldelningen är begränsad till Fleet Manager-resursgruppen.

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Network Contributor" \
    --scope "<fleet-manager-resource-group-id>"

Skapa en Fleet Manager med den användartilldelade hanterade identiteten

Anmärkning

Regionerna USDOD Central, USDOD East och USGov Iowa i Azure US Government-molnet stöder inte skapandet av en Fleet Manager med en användartilldelad hanterad identitet.

Azure Portal

Du kan inte skapa en Fleet Manager med en användartilldelad hanterad identitet i Azure-portalen. Du kan ändra Fleet Manager-identitetstypen till användartilldelad när Fleet Manager har skapats eller använda Azure CLI.

Azure CLI

Skapa en Fleet Manager med den användartilldelade hanterade identiteten az fleet create med hjälp av kommandot med parametern --assign-identity . Skicka in resurs-ID:t för den användartilldelade hanterade identiteten:

az fleet create \
    --resource-group myResourceGroup \
    --name myFleetName \
    --assign-identity $RESOURCE_ID

Uppdatera en befintlig Fleet Manager för att använda en användartilldelad hanterad identitet

Azure Portal

Du kan hantera den hanterade Fleet Manager-identiteten med hjälp av identitetsbladet i avsnittet Inställningar för Fleet Manager.

1. Växla till fliken användartilldelad hanterad identitet genom att välja Användartilldelad.

   

2. Välj + Lägg till för att öppna fönstret Lägg till användartilldelad hanterad identitet .

   • Prenumeration – välj den Azure-prenumeration som innehåller den användartilldelade hanterade identitet som du vill använda.
   • Användartilldelade hanterade identiteter – sök efter den användartilldelade hanterade identitet som du vill använda.

   

3. Välj Lägg till för att lägga till den användartilldelade hanterade identiteten i Fleet Manager.

4. Efter en liten stund ändras listan Användartilldelad och den användartilldelade hanterade identiteten visas.

   

Azure CLI

Om du vill uppdatera en befintlig Fleet Manager för att använda en användartilldelad hanterad identitet anropar du az fleet update kommandot. Inkludera parametern --assign-identity och skicka resurs-ID:t för den användartilldelade hanterade identiteten:

az fleet update \
    --resource-group myResourceGroup \
    --name myFleetName \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

Utdata för en lyckad Fleet Manager-uppdatering för användning av en användartilldelad hanterad identitet bör likna följande exempelutdata:

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

Fastställa vilken typ av hanterad identitet som används

Azure Portal

Du kan kontrollera fleet manager-inställningarna för hanterade identiteter med hjälp av bladet Identitet i avsnittet Inställningar för Fleet Manager.

Kontrollera både avsnitten Systemtilldelad och Användartilldelad för att avgöra vilken typ av hanterad identitet som är aktiverad.

Azure CLI

Om du vill avgöra vilken typ av hanterad identitet som din befintliga Fleet Manager använder anropar du kommandot az fleet show och frågar efter identitetens typegenskap .

az fleet show \
    --name myFleetName \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv       

Svaret är antingen SystemAssigned eller UserAssigned.

Nästa steg

• Använd Azure Resource Manager-mallar för att skapa en hanterad identitetsaktiverad Fleet Manager.