Aracılığıyla paylaş

Azure kaynakları için yönetilen kimlikler hakkında sık sorulan sorular

  • Makale

Azure kaynakları için yönetilen kimlikler, Microsoft Entra Id'nin bir özelliğidir. Azure kaynakları için yönetilen kimlikleri destekleyen Azure hizmetlerinin her biri kendi zaman çizelgesine tabidir. Başlamadan önce kaynağınıza yönelik yönetilen kimliklerin kullanılabilirlik durumunu ve bilinen sorunları gözden geçirdiğinizden emin olun.

Not

Azure kaynakları için yönetilen kimlikler, Yönetilen Hizmet Kimliği (MSI) olarak bilinen hizmetin yeni adıdır.

Yönetim

Yönetilen kimliğe sahip kaynakları nasıl bulabilirsiniz?

Sistem tarafından atanan yönetilen kimliğe sahip kaynakların listesini aşağıdaki Azure CLI Komutunu kullanarak bulabilirsiniz:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

Bir kaynakta yönetilen kimlik kullanmak için hangi Azure RBAC izinleri gerekir?

  • Sistem tarafından atanan yönetilen kimlik: Kaynak üzerinde yazma izinlerinizin olması gerekir. Örneğin sanal makineler için Microsoft.Compute/virtualMachines/write izni gerekir. Bu eylem, Sanal Makine Katkıda Bulunanı gibi kaynağa özgü yerleşik rollere eklenir.
  • Kaynaklara kullanıcı tarafından atanan yönetilen kimlikler atama: Kaynak üzerinde yazma izinlerine sahip olmanız gerekir. Örneğin sanal makineler için Microsoft.Compute/virtualMachines/write izni gerekir. Kullanıcı tarafından atanan kimlik üzerinde de eyleme ihtiyacınız olacaktır Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action . Bu eylem Yönetilen Kimlik İşleci yerleşik rolüne eklenir.
  • Kullanıcı tarafından atanan kimlikleri yönetme: Kullanıcı tarafından atanan yönetilen kimlikleri oluşturmak veya silmek için Yönetilen Kimlik Katkıda Bulunanı rol atamasına ihtiyacınız vardır.
  • Yönetilen kimlikler için rol atamalarını yönetme: Erişim vermekte olduğunuz kaynak üzerinde Sahip veya Kullanıcı Erişimi Yöneticisi rol atamasına ihtiyacınız vardır. Sistem tarafından atanan bir kimliğe sahip kaynağa veya rol ataması verilen kullanıcı tarafından atanan kimliğe Okuyucu rol ataması gerekir. Okuma erişiminiz yoksa, rol atamasını eklerken yönetilen kimliğe göre arama yapmak yerine kimliğin destek hizmet sorumlusunu bulmak için "Kullanıcı, grup veya hizmet sorumlusu" ile arama yapabilirsiniz. Azure rolleri atama hakkında daha fazla bilgi edinin.

Kullanıcı tarafından atanan yönetilen kimliklerin oluşturulmasını Nasıl yaparım? engeller?

Kullanıcılarınızın Azure İlkesi kullanarak kullanıcı tarafından atanan yönetilen kimlikler oluşturmalarını engelleyebilirsiniz

  1. Azure portalında oturum açın ve İlke'ye gidin.

  2. Tanımları Seç

  3. + İlke tanımı'nı seçin ve gerekli bilgileri girin.

  4. İlke kuralı bölümünde yapıştırın:

    {
  "mode": "All",
  "policyRule": {
    "if": {
      "field": "type",
      "equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
    },
    "then": {
      "effect": "deny"
    }
  },
  "parameters": {}
}

İlkeyi oluşturduktan sonra, kullanmak istediğiniz kaynak grubuna atayın.

  1. Kaynak gruplarına gidin.
  2. Test için kullandığınız kaynak grubunu bulun.
  3. Sol menüden İlkeler'i seçin.
  4. İlke ata'yı seçin
  5. Temel Bilgiler bölümünde şunları sağlayın:
    1. Kapsam Test için kullanmakta olduğumuz kaynak grubu
    2. İlke tanımı: Daha önce oluşturduğumuz ilke.
  6. Diğer tüm ayarları varsayılan değerlerinde bırakın ve Gözden Geçir + Oluştur'u seçin

Bu noktada, kaynak grubunda kullanıcı tarafından atanan yönetilen kimlik oluşturma girişimleri başarısız olur.

İlke ihlalini gösteren ekran görüntüsü.

Kavramlar

Yönetilen kimliklerin bir yedekleme uygulaması nesnesi var mı?

Hayır, yönetilen kimlikler ve Microsoft Entra Uygulama Kayıtları dizinde aynı şey değildir.

Uygulama kayıtları iki bileşeni vardır: Uygulama Nesnesi + Hizmet Sorumlusu Nesnesi. Azure kaynakları için Yönetilen Kimlikler şu bileşenlerden yalnızca birine sahiptir: Hizmet Sorumlusu Nesnesi.

Yönetilen kimliklerin dizinde uygulama nesnesi yoktur. Bu, MS grafı için uygulama izinleri vermek için yaygın olarak kullanılan özelliktir. Bunun yerine, yönetilen kimlikler için MS grafı izinlerinin doğrudan Hizmet Sorumlusuna verilmesi gerekir.

Yönetilen kimlikle ilişkilendirilmiş kimlik bilgileri nedir? Ne kadar süre geçerli ve ne sıklıkta döndürülür?

Not

Yönetilen kimliklerin kimlik doğrulaması, bildirimde bulunmadan değiştirilebilir bir iç uygulama ayrıntısıdır.

Yönetilen kimlikler sertifika tabanlı kimlik doğrulaması kullanır. Her yönetilen kimliğin kimlik bilgilerinin son kullanma tarihi 90 gündür ve 45 gün sonra alınır.

İstekte kimliği belirtmezsem IMDS varsayılan olarak hangi kimliğe ayarlanacak?

  • Sistem tarafından atanan yönetilen kimlik etkinleştirilirse ve istekte kimlik belirtilmezse, Azure Örnek Meta Veri Hizmeti (IMDS) varsayılan olarak sistem tarafından atanan yönetilen kimlik olarak ayarlanır.
  • Sistem tarafından atanan yönetilen kimlik etkinleştirilmemişse ve yalnızca bir kullanıcı tarafından atanan yönetilen kimlik varsa, IMDS varsayılan olarak o tek kullanıcı tarafından atanan yönetilen kimliktir.

    Kaynağa herhangi bir nedenle başka bir kullanıcı tarafından atanan yönetilen kimlik atanırsa, IMDS istekleriniz hatasıyla Multiple user assigned identities exist, please specify the clientId / resourceId of the identity in the token requestbaşarısız olur. Kaynak için şu anda yalnızca bir kullanıcı tarafından atanan yönetilen kimlik mevcut olsa bile isteğinizde açıkça bir kimlik belirtmenizi kesinlikle öneririz.

  • Sistem tarafından atanan yönetilen kimlik etkinleştirilmemişse ve birden çok kullanıcı tarafından atanan yönetilen kimlik varsa, istekte bir yönetilen kimlik belirtmeniz gerekir.

Sınırlamalar

Aynı yönetilen kimlik birden çok bölgede kullanılabilir mi?

Kısacası evet, kullanıcı tarafından atanan yönetilen kimlikleri birden fazla Azure bölgesinde kullanabilirsiniz. Daha uzun yanıt, kullanıcı tarafından atanan yönetilen kimlikler bölgesel kaynak olarak oluşturulurken Microsoft Entra Id'de oluşturulan ilişkili hizmet sorumlusunun (SP) genel olarak kullanılabilir olmasıdır. Hizmet sorumlusu herhangi bir Azure bölgesinden kullanılabilir ve kullanılabilirliği Microsoft Entra Id'nin kullanılabilirliğine bağlıdır. Örneğin, Orta Güney bölgesinde kullanıcı tarafından atanan bir yönetilen kimlik oluşturduysanız ve bu bölge kullanılamaz duruma gelirse, bu sorun yalnızca yönetilen kimliğin üzerindeki denetim düzlemi etkinliklerini etkiler. Yönetilen kimlikleri kullanmak üzere yapılandırılmış olan kaynaklar tarafından gerçekleştirilen etkinlikler etkilenmez.

Azure kaynakları için yönetilen kimlikler Azure Cloud Services (Klasik) ile çalışır mı?

Azure kaynakları için yönetilen kimlikler şu anda Azure Cloud Services (klasik) desteğine sahip değildir. “

Azure kaynakları için yönetilen kimliklerin güvenlik sınırı nedir?

Kimliğin güvenlik sınırı, bağlı olduğu kaynaktır. Örneğin, Azure kaynakları için yönetilen kimliklerin etkinleştirildiği bir sanal makinenin güvenlik sınırı sanal makinedir. Bu VM'de çalışan tüm kodlar yönetilen kimlikler uç noktasını çağırıp belirteçleri isteyebilir. Bu deneyim, yönetilen kimlikleri destekleyen diğer kaynaklarla çalışırken de benzer bir deneyimdir.

Aboneliği başka bir dizine taşırsam yönetilen kimlikler otomatik olarak yeniden oluşturulacak mı?

Hayır, aboneliği başka bir dizine taşırsanız bunları el ile yeniden oluşturmanız ve Azure rol atamalarını yeniden atamanız gerekir.

  • Sistem tarafından atanan yönetilen kimlikler için: Devre dışı bırakın ve yeniden etkinleştirin.
  • Kullanıcı tarafından atanan yönetilen kimlikler için: Bunları silin, yeniden oluşturun ve gerekli kaynaklara (örneğin sanal makinelere) yeniden ekleyin

Farklı bir dizindeki/kiracıdaki bir kaynağa erişmek için yönetilen kimlik kullanabilir miyim?

Hayır, yönetilen kimlikler şu anda dizinler arası senaryoları desteklememektedir.

Yönetilen kimlikler için geçerli olan oran sınırları var mı?

Yönetilen kimlik sınırlarının Azure hizmet sınırlarına, Azure Örnek Meta Veri Hizmeti (IMDS) sınırlarına ve Microsoft Entra hizmet sınırlarına bağımlılıkları vardır.

  • Azure hizmet sınırları, kiracı ve abonelik düzeylerinde gerçekleştirilebilecek oluşturma işlemlerinin sayısını sınırlar. Kullanıcı tarafından atanan yönetilen kimliklerin de adlandırılma şekliyle ilgili sınırlamaları vardır.
  • IMDS Genel olarak, IMDS istekleri saniyede beş istekle sınırlıdır. Bu eşiği aşan istekler 429 yanıtıyla reddedilir. Yönetilen Kimlik kategorisine yönelik istekler saniyede 20 istek ve 5 eşzamanlı istekle sınırlıdır. Azure Örnek Meta Veri Hizmeti (Windows) makalesinde daha fazla bilgi edinebilirsiniz.
  • Microsoft Entra hizmeti Her yönetilen kimlik, Microsoft Entra hizmet sınırları ve kısıtlamaları bölümünde açıklandığı gibi bir Microsoft Entra kiracısında nesne kotası sınırına göre sayılır.

Kullanıcı tarafından atanan yönetilen kimliği farklı bir kaynak grubuna/aboneliğe taşımak mümkün mü?

Kullanıcı tarafından atanan yönetilen kimliğin farklı bir kaynak grubuna taşınması desteklenmez.

Yönetilen kimlik belirteçleri önbelleğe alınmış mı?

Yönetilen kimlik belirteçleri, performans ve dayanıklılık amacıyla temel alınan Azure altyapısı tarafından önbelleğe alınır: yönetilen kimlikler için arka uç hizmetleri, kaynak URI'sine göre yaklaşık 24 saat boyunca önbellek tutar. Örneğin, yönetilen kimliğin izinlerindeki değişikliklerin etkili olması birkaç saat sürebilir. Bugün, yönetilen kimliğin belirtecini süresi dolmadan önce yenilenmeye zorlamak mümkün değildir. Daha fazla bilgi için bkz . Yetkilendirme için yönetilen kimlikleri kullanma sınırlaması.

Yönetilen kimlikler geçici olarak silindi mi?

Evet, Yönetilen Kimlikler 30 gün boyunca geçici olarak silinir. Geçici olarak silinen yönetilen kimlik hizmet sorumlusunu görüntüleyebilirsiniz, ancak geri yükleyemez veya kalıcı olarak silemezsiniz.

Yönetilen kimlik silindikten sonra belirteçlere ne olur?

Yönetilen kimlik silindiğinde, daha önce bu kimlikle ilişkilendirilmiş bir Azure kaynağı artık bu kimlik için yeni belirteçler isteyemez. Kimlik silinmeden önce verilen belirteçler, özgün süre sonu gelene kadar geçerli olmaya devam eder. Bazı hedef uç noktaların yetkilendirme sistemleri dizinde kimlik için başka denetimler gerçekleştirebilir ve bu durumda nesne bulunamadığında istek başarısız olur. Ancak Azure RBAC gibi bazı sistemler süresi dolana kadar bu belirteçten gelen istekleri kabul etmeye devam eder.

Sonraki adımlar

  • Yönetilen kimliklerin sanal makinelerle nasıl çalıştığını öğrenin