Azure Container Apps'te yönetilen kimlikler

Makale
06/28/2024

Microsoft Entra Id'den yönetilen kimlik, kapsayıcı uygulamanızın diğer Microsoft Entra korumalı kaynaklara erişmesini sağlar. Microsoft Entra Id'deki yönetilen kimlikler hakkında daha fazla bilgi için bkz . Azure kaynakları için yönetilen kimlikler.

Kapsayıcı uygulamanıza iki tür kimlik verilebilir:

Sistem tarafından atanan bir kimlik kapsayıcı uygulamanıza bağlıdır ve kapsayıcı uygulamanız silindiğinde silinir. Bir uygulama sistem tarafından atanan yalnızca bir kimliğe sahip olabilir.
Kullanıcı tarafından atanan kimlik, kapsayıcı uygulamanıza ve diğer kaynaklara atayabileceğiniz tek başına bir Azure kaynağıdır. Kapsayıcı uygulamasının kullanıcı tarafından atanan birden çok kimliği olabilir. Kullanıcı tarafından atanan kimlikler siz silene kadar var olur.

Yönetilen kimlik neden kullanılır?

Microsoft Entra kimlik doğrulamasını destekleyen herhangi bir hizmette kimlik doğrulaması yapmak için çalışan bir kapsayıcı uygulamasında yönetilen kimlik kullanabilirsiniz.

Yönetilen kimliklerle:

Uygulamanız yönetilen kimlikle kaynaklara bağlanır. Kapsayıcı uygulamanızda kimlik bilgilerini yönetmeniz gerekmez.
Yönetilen kimliğe belirli izinler vermek için rol tabanlı erişim denetimini kullanabilirsiniz.
Sistem tarafından atanan kimlikler otomatik olarak oluşturulur ve yönetilir. Kapsayıcı uygulamanız silindiğinde silinirler.
Kullanıcı tarafından atanan kimlikleri ekleyip silebilir ve bunları birden çok kaynağa atayabilirsiniz. Kapsayıcı uygulamanızın yaşam döngüsünden bağımsızdır.
Kapsayıcı uygulamanızın kapsayıcılarını çekmek için kullanıcı adı ve parola olmadan özel bir Azure Container Registry ile kimlik doğrulaması yapmak için yönetilen kimliği kullanabilirsiniz.
Dapr bileşenleri aracılığıyla Dapr özellikli uygulamalar için bağlantılar oluşturmak üzere yönetilen kimlik kullanabilirsiniz

Yaygın kullanım örnekleri

Sistem tarafından atanan kimlikler aşağıdaki iş yükleri için en iyisidir:

tek bir kaynak içinde yer alan
bağımsız kimliklere ihtiyaç duyar

Kullanıcı tarafından atanan kimlikler aşağıdaki iş yükleri için idealdir:

birden çok kaynakta çalıştırabilir ve tek bir kimliği paylaşabilir
güvenli bir kaynak için ön yetkilendirme gerekiyor

Sınırlamalar

Init kapsayıcıları yalnızca tüketim ortamlarında ve ayrılmış iş yükü profili ortamlarında yönetilen kimliklere erişemez

Yönetilen kimlikleri yapılandırma

Yönetilen kimliklerinizi şu şekilde yapılandırabilirsiniz:

Azure portal
Azure CLI
Azure Resource Manager (ARM) şablonunuz

Çalışan bir kapsayıcı uygulamasına yönetilen kimlik eklendiğinde, silindiğinde veya değiştirildiğinde uygulama otomatik olarak yeniden başlatılmaz ve yeni bir düzeltme oluşturulmaz.

Not

11 Nisan 2022'ye kadar dağıtılan bir kapsayıcı uygulamasına yönetilen kimlik eklerken yeni bir düzeltme oluşturmanız gerekir.

Sistem tarafından atanan kimlik ekleme

Azure portalında kapsayıcı uygulamanıza gidin.
Ayarlar grubunda Kimlik'i seçin.
Sistem tarafından atanan sekmesinde Durum'aAçık olarak geçin.
Kaydet'i seçin.

Sistem tarafından atanan kimliklerin ekran görüntüsü.

az containerapp identity assign Sistem tarafından atanan bir kimlik oluşturmak için komutunu çalıştırın:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

Kapsayıcı uygulamanızın ve kaynaklarınızın dağıtımını otomatikleştirmek için ARM şablonu kullanılabilir. Sistem tarafından atanan bir kimlik eklemek için ARM şablonunuza bir identity bölüm ekleyin.

"identity": {
    "type": "SystemAssigned"
}

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler. Eksiksiz bir ARM şablonu örneği için bkz . ARM API Belirtimi.

ve az containerapp job createdahil olmak üzere az containerapp create bazı Azure CLI komutları giriş için YAML dosyalarını destekler. Sistem tarafından atanan bir kimlik eklemek için YAML dosyanıza bir identity bölüm ekleyin.

identity:
  type: SystemAssigned

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler. Tam bir YAML şablonu örneği için bkz . ARM API Belirtimi.

Kapsayıcı uygulamanızın ve kaynaklarınızın dağıtımını otomatikleştirmek için bicep şablonu kullanılabilir. Sistem tarafından atanan bir kimlik eklemek için Bicep şablonunuza bir identity bölüm ekleyin.

identity: {
  type: 'SystemAssigned'
}

Sistem tarafından atanan türü eklemek, Azure'a uygulamanız için kimlik oluşturmasını ve yönetmesini söyler. Eksiksiz bir Bicep şablonu örneği için bkz . Microsoft.App containerApps Bicep, ARM şablonu ve Terraform AzAPI başvurusu.

Kullanıcı tarafından atanan kimlik ekleme

Bir kapsayıcı uygulamasını kullanıcı tarafından atanan bir kimlikle yapılandırmak için önce kimliği oluşturmanız ve ardından kapsayıcı uygulamanızın yapılandırmasına kaynak tanımlayıcısını eklemeniz gerekir. Azure portalı veya Azure CLI aracılığıyla kullanıcı tarafından atanan kimlikler oluşturabilirsiniz. Kullanıcı tarafından atanan kimlikleri oluşturma ve yönetme hakkında bilgi için bkz . Kullanıcı tarafından atanan yönetilen kimlikleri yönetme.

İlk olarak, kullanıcı tarafından atanan bir kimlik kaynağı oluşturmanız gerekir.

Kullanıcı tarafından atanan yönetilen kimlikleri yönetme bölümünde bulunan adımlara göre kullanıcı tarafından atanan bir yönetilen kimlik kaynağı oluşturun.
Azure portalında kapsayıcı uygulamanıza gidin.
Ayarlar grubunda Kimlik'i seçin.
Kullanıcı tarafından atanan sekmesinde Ekle'yi seçin.
Daha önce oluşturduğunuz kimliği arayın ve seçin.
Ekle'yi seçin.

Kullanıcı tarafından atanan kimliklerin ekran görüntüsü.

Kullanıcı tarafından atanan bir kimlik oluşturun.
```
az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
```
Yeni kimliğin id özelliğini not edin.
az containerapp identity assign Kimliği uygulamaya atamak için komutunu çalıştırın. identities parametresi boşlukla ayrılmış bir listedir.
```
az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
    --user-assigned <IDENTITY_RESOURCE_ID>
```
değerini kimliğin id özelliğiyle değiştirin<IDENTITY_RESOURCE_ID>. Birden fazla kullanıcı tarafından atanan kimlik atamak için parametresine --user-assigned boşlukla ayrılmış kimlik listesi sağlayın.

Kullanıcı tarafından atanan bir veya daha fazla kimlik eklemek için ARM şablonunuza bir identity bölüm ekleyin. ve <IDENTITY2_RESOURCE_ID> öğesini eklemek istediğiniz kimliklerin kaynak tanımlayıcılarıyla değiştirin<IDENTITY1_RESOURCE_ID>.

Nesneye userAssignedIdentities anahtar olarak kimliğin kaynak tanımlayıcısı ile bir öğe ekleyerek kullanıcı tarafından atanan her kimliği belirtin. Değer olarak boş bir nesne kullanın.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Eksiksiz bir ARM şablonu örneği için bkz . ARM API Belirtimi.

Not

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda, özelliğinin type değeri olacaktır SystemAssigned,UserAssigned.

Kullanıcı tarafından atanan bir veya daha fazla kimlik eklemek için YAML yapılandırma dosyanıza bir identity bölüm ekleyin. ve <IDENTITY2_RESOURCE_ID> öğesini eklemek istediğiniz kimliklerin kaynak tanımlayıcılarıyla değiştirin<IDENTITY1_RESOURCE_ID>.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Tam bir YAML şablonu örneği için bkz . ARM API Belirtimi.

Not

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda özelliği type olacaktır SystemAssigned,UserAssigned.

Kullanıcı tarafından atanan bir veya daha fazla kimlik eklemek için Bicep şablonunuza bir identity bölüm ekleyin. ve <IDENTITY2_RESOURCE_ID> öğesini eklemek istediğiniz kimliklerin kaynak tanımlayıcılarıyla değiştirin<IDENTITY1_RESOURCE_ID>.

identity: {
  type: 'UserAssigned'
  userAssignedIdentities: {
    <IDENTITY1_RESOURCE_ID>: {}
    <IDENTITY2_RESOURCE_ID>: {}
  }
}

Eksiksiz bir Bicep şablonu örneği için bkz . Microsoft.App containerApps Bicep, ARM şablonu ve Terraform AzAPI başvurusu.

Not

Bir uygulama hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimliklere aynı anda sahip olabilir. Bu durumda özelliği type olacaktır SystemAssigned,UserAssigned.

Hedef kaynağı yapılandırma

Bazı kaynaklar için, erişim vermek için uygulamanızın yönetilen kimliği için rol atamalarını yapılandırmanız gerekir. Aksi takdirde, uygulamanızdan Azure Key Vault ve Azure SQL Veritabanı gibi hizmetlere yapılan çağrılar, bu kimlik için geçerli bir belirteç kullandığınızda bile reddedilir. Azure rol tabanlı erişim denetimi (Azure RBAC) hakkında daha fazla bilgi edinmek için bkz . RBAC nedir?. Microsoft Entra belirteçlerini destekleyen kaynaklar hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri.

Önemli

Yönetilen kimlikler için arka uç hizmetleri, yaklaşık 24 saat boyunca kaynak URI'sine göre bir önbellek tutar. Belirli bir hedef kaynağın erişim ilkesini güncelleştirir ve bu kaynak için hemen bir belirteç alırsanız, belirtecin süresi dolana kadar eski izinlere sahip önbelleğe alınmış bir belirteç almaya devam edebilirsiniz. Belirteç yenilemeyi zorlama desteklenmez.

Uygulama kodunda Azure hizmetlerine bağlanma

Yönetilen kimliklerle bir uygulama Azure SQL Veritabanı, Azure Key Vault ve Azure Depolama gibi Microsoft Entra Id kullanan Azure kaynaklarına erişmek için belirteçler alabilir. Bu belirteçler kaynağa erişen uygulamayı temsil eder ve uygulamanın belirli bir kullanıcısını temsil eder.

Container Apps, belirteçleri almak için dahili olarak erişilebilir bir REST uç noktası sağlar. REST uç noktası, tercih ettiğiniz dilde genel bir HTTP GET istemcisiyle gönderebileceğiniz standart bir HTTP isteğiyle uygulamanın içinden kullanılabilir. .NET, JavaScript, Java ve Python için Azure Identity istemci kitaplığı bu REST uç noktası üzerinde bir soyutlama sağlar. Hizmete özgü istemciye bir kimlik bilgisi nesnesi ekleyerek diğer Azure hizmetlerine bağlanabilirsiniz.

Not

Azure Identity istemci kitaplığını kullanırken, kullanıcı tarafından atanan yönetilen kimlik istemci kimliğini açıkça belirtmeniz gerekir.

Not

Entity Framework Core ile Azure SQL veri kaynaklarına bağlanırken, yönetilen kimlik bağlantısı için özel bağlantı dizesi sağlayan Microsoft.Data.SqlClient'ı kullanmayı göz önünde bulundurun.

.NET uygulamaları için, yönetilen kimlikle çalışmanın en basit yolu .NET için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için şu kaynaklara gözatın:

Bağlantılı örneklerde kullanılır DefaultAzureCredential. Aynı desen Azure'da (yönetilen kimliklerle) ve yerel makinenizde (yönetilen kimlikler olmadan) çalıştığından, bu nesne çoğu senaryoda etkilidir.

Node.js uygulamalarda, yönetilen kimlikle çalışmanın en basit yolu JavaScript için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için şu kaynaklara gözatın:

JavaScript için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik örnekleri.

Python uygulamaları için, yönetilen kimlikle çalışmanın en basit yolu Python için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için şu kaynaklara gözatın:

Java uygulamaları ve işlevleri için, yönetilen kimlikle çalışmanın en basit yolu Java için Azure Identity istemci kitaplığını kullanmaktır. Daha fazla bilgi için şu kaynaklara gözatın:

Java için Azure Identity istemci kitaplığına ilişkin daha fazla kod örneği için bkz . Azure Kimlik Örnekleri.

Azure hizmetinin kaynak URI'sini belirterek yerel uç noktadan belirteç almak için aşağıdaki betiği kullanın. Belirteci almak için yer tutucuyu kaynak URI'siyle değiştirin.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

Ham HTTP GET isteği aşağıdaki örneğe benzer.

Ortam değişkeninden belirteç uç noktası URL'sini IDENTITY_ENDPOINT alın. x-identity-header ortam değişkeninde depolanan GUID'yi IDENTITY_HEADER içerir.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Yanıt şu örneğe benzer olabilir:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

Bu yanıt, Microsoft Entra hizmet-hizmet erişim belirteci isteğinin yanıtıyla aynıdır. Key Vault'a erişmek için değerini kasayla bir istemci bağlantısına ekleyin access_token .

REST uç nokta başvurusu

Yönetilen kimliğe sahip bir kapsayıcı uygulaması, iki ortam değişkeni tanımlayarak kimlik uç noktasını kullanıma sunar:

IDENTITY_ENDPOINT: Kapsayıcı uygulamanızın belirteç isteğinde bulunabileceği yerel URL.
IDENTITY_HEADER: Sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltmaya yardımcı olmak için kullanılan üst bilgi. Değer platform tarafından döndürülür.

Bir kaynağın belirtecini almak için uç noktaya aşağıdaki parametreler de dahil olmak üzere bir HTTP GET isteği gönderin:

Parametre adı	İçinde	Açıklama
kaynak	Sorgu	Belirtecin alınması gereken kaynağın Microsoft Entra kaynak URI'si. Kaynak, Microsoft Entra kimlik doğrulamasını veya başka bir kaynak URI'sini destekleyen Azure hizmetlerinden biri olabilir.
api-sürümü	Sorgu	Kullanılacak belirteç API'sinin sürümü. "2019-08-01" veya üzerini kullanın.
X-IDENTITY-HEADER	Üst bilgi	Ortam değişkeninin `IDENTITY_HEADER` değeri. Bu üst bilgi, sunucu tarafı istek sahteciliği (SSRF) saldırılarını azaltır.
client_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin istemci kimliği. , `mi_res_id`veya `object_id`içeren `principal_id`bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.
principal_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin asıl kimliği. `object_id` bunun yerine kullanılabilecek bir diğer addır. client_id, mi_res_id veya object_id içeren bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.
mi_res_id	Sorgu	(İsteğe bağlı) Kullanılacak kullanıcı tarafından atanan kimliğin Azure kaynak kimliği. , `client_id`veya `object_id`içeren `principal_id`bir istekte kullanılamaz. Tüm kimlik parametreleri (`client_id`, `principal_id`, `object_id`ve `mi_res_id`) atlanırsa, sistem tarafından atanan kimlik kullanılır.

Önemli

Kullanıcı tarafından atanan kimlikler için belirteçleri almayı denerseniz, isteğe bağlı özelliklerden birini eklemeniz gerekir. Aksi takdirde belirteç hizmeti, sistem tarafından atanan bir kimlik için var olabilecek veya varolmayan bir belirteç almayı dener.

Ölçek kuralları için yönetilen kimlik kullanma

API sürümünden 2024-02-02-previewbaşlayarak, yönetilen kimlikleri destekleyen Azure hizmetleriyle kimlik doğrulaması yapmak için ölçek kurallarınızda yönetilen kimlikleri kullanabilirsiniz. Ölçek kuralınızda yönetilen kimlik kullanmak için, ölçek kuralınızdaki özellik yerine auth özelliğini kullanınidentity. özelliği için identity kabul edilebilir değerler, kullanıcı tarafından atanan bir kimliğin Azure kaynak kimliğidir veya system sistem tarafından atanan bir kimlik kullanmak için kullanılır

Aşağıdaki örnekte yönetilen kimliklerin Azure Kuyruk Depolama ölçek kuralıyla nasıl kullanılacağı gösterilmektedir. Kuyruk depolama hesabı, depolama hesabını tanımlamak için özelliğini kullanırken accountName özelliği hangi yönetilen kimliğin identity kullanılacağını belirtir. özelliğini kullanmanız auth gerekmez.

"scale": {
    "minReplicas": 1,
    "maxReplicas": 10,
    "rules": [{
        "name": "myQueueRule",
        "azureQueue": {
            "accountName": "mystorageaccount",
            "queueName": "myqueue",
            "queueLength": 2,
            "identity": "<IDENTITY1_RESOURCE_ID>"
        }
    }]
}

Yönetilen kimlik kullanılabilirliğini denetleme

Container Apps, init kapsayıcılarını ve ana kapsayıcıları belirtmenize olanak sağlar. Varsayılan olarak, tüketim iş yükü profili ortamındaki hem ana hem de giriş kapsayıcıları, diğer Azure hizmetlerine erişmek için yönetilen kimliği kullanabilir. Yalnızca tüketim ortamlarında ve ayrılmış iş yükü profili ortamlarında yönetilen kimliği yalnızca ana kapsayıcılar kullanabilir. Yönetilen kimlik erişim belirteçleri, kapsayıcı uygulamasında yapılandırılan her yönetilen kimlik için kullanılabilir. Ancak bazı durumlarda yönetilen kimlik için yalnızca init kapsayıcısı veya ana kapsayıcı erişim belirteçleri gerektirir. Diğer durumlarda, yönetilen kimliği yalnızca kapsayıcı görüntüsünü çekmek için Azure Container Registry'nize erişmek için kullanabilirsiniz ve uygulamanızın kendisinin Azure Container Registry'nize erişimi olması gerekmez.

API sürümünden 2024-02-02-previewbaşlayarak, en düşük ayrıcalık güvenlik ilkesini izlemek için başlatma ve ana aşamalar sırasında kapsayıcı uygulamanız için hangi yönetilen kimliklerin kullanılabilir olduğunu denetleyebilirsiniz. Aşağıdaki seçenekler bulunur:

Init: yalnızca init kapsayıcıları için kullanılabilir. Yönetilen kimlik gerektiren, ancak artık ana kapsayıcıda yönetilen kimliğe ihtiyacınız kalmadığında, bu işlemi kullanın. Bu seçenek şu anda yalnızca iş yükü profili tüketim ortamlarında desteklenmektedir
Main: yalnızca ana kapsayıcılar tarafından kullanılabilir. Init kapsayıcınızın yönetilen kimliğe ihtiyacı yoksa bunu kullanın.
All: tüm kapsayıcılar tarafından kullanılabilir. Bu varsayılan ayardır.
None: herhangi bir kapsayıcı tarafından kullanılamaz. Bunu yalnızca ACR görüntü çekme, ölçeklendirme kuralları veya Key Vault gizli dizileri için kullanılan ve kapsayıcılarınızda çalışan kod için kullanılabilir olması gerekmeyen bir yönetilen kimliğiniz varsa kullanın.

Aşağıdaki örnek, bir iş yükü profili tüketim ortamında aşağıdaki gibi bir kapsayıcı uygulamasının nasıl yapılandırıldığını gösterir:

Kapsayıcı uygulamasının sistem tarafından atanan kimliğini yalnızca ana kapsayıcılarla kısıtlar.
Kullanıcı tarafından atanan belirli bir kimliği yalnızca init kapsayıcılarıyla kısıtlar.
Kapsayıcılardaki kodun bu yönetilen kimliği kullanarak kayıt defterine erişmesine izin vermeden Azure Container Registry görüntü çekmesi için kullanıcı tarafından atanan belirli bir kimliği kullanır. Bu örnekte kapsayıcıların kayıt defterine erişmesi gerekmez.

Bu yaklaşım, kötü amaçlı bir aktör kapsayıcılara yetkisiz erişim elde ederse erişilebilen kaynakları sınırlar.

{
    "location": "eastus2",
    "identity":{
    "type": "SystemAssigned, UserAssigned",
        "userAssignedIdentities": {
            "<IDENTITY1_RESOURCE_ID>":{},
            "<ACR_IMAGEPULL_IDENTITY_RESOURCE_ID>":{}
         }
     },
    "properties": {
        "workloadProfileName":"Consumption",
        "environmentId": "<CONTAINER_APPS_ENVIRONMENT_ID>",
        "configuration": {
            "registries": [
            {
                "server": "myregistry.azurecr.io",
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID"
            }],
            "identitySettings":[
            {
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID",
                "lifecycle": "none"
            },
            {
                "identity": "<IDENTITY1_RESOURCE_ID>",
                "lifecycle": "init"
            },
            {
                "identity": "system",
                "lifecycle": "main"
            }]
        },
        "template": {
            "containers":[
                {
                    "image":"myregistry.azurecr.io/main:1.0",
                    "name":"app-main"
                }
            ],
            "initContainers":[
                {
                    "image":"myregistry.azurecr.io/init:1.0",
                    "name":"app-init",
                }
            ]
        }
    }
}

Yönetilen kimlikleri görüntüleme

Aşağıdaki Azure CLI komutunu kullanarak sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri gösterebilirsiniz. Çıktı, kapsayıcı uygulamanıza atanan tüm yönetilen kimliklerin yönetilen kimlik türünü, kiracı kimliklerini ve asıl kimliklerini gösterir.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Yönetilen kimliği kaldırma

Sistem tarafından atanan bir kimliği kaldırdığınızda, bu kimlik Microsoft Entra Id'den silinir. Kapsayıcı uygulama kaynağını sildiğinizde sistem tarafından atanan kimlikler de Microsoft Entra Id'den otomatik olarak kaldırılır. Kapsayıcı uygulamanızdan kullanıcı tarafından atanan yönetilen kimliklerin kaldırılması, bunları Microsoft Entra Id'den kaldırmaz.

Uygulamanızın sayfasının sol gezinti bölmesinde aşağı kaydırarak Ayarlar grubuna gelin.
Kimlik öğesini seçin. Ardından kimlik türüne göre adımları izleyin:
- Sistem tarafından atanan kimlik: Sistem tarafından atanan sekmesinde Durum seçeneğini Kapalı olarak değiştirin. Kaydet'i seçin.
- Kullanıcı tarafından atanan kimlik: Kullanıcı tarafından atanan sekmesini seçin, kimliğin onay kutusunu seçin ve Kaldır'ı seçin. Onaylamak için Evet'i seçin.

Sistem tarafından atanan kimliği kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Kullanıcı tarafından atanan bir veya daha fazla kimliği kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Kullanıcı tarafından atanan tüm kimlikleri kaldırmak için:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Tüm kimlikleri kaldırmak için ARM şablonunda kapsayıcı uygulamasının kimliğini olarak None ayarlayıntype:

"identity": {
    "type": "None"
}

Tüm kimlikleri kaldırmak için YAML yapılandırma dosyasında kapsayıcı uygulamasının kimliğini None olarak ayarlayıntype:

identity:
    type: None

Tüm kimlikleri kaldırmak için Kapsayıcı uygulamasının kimliğini Bicep şablonunda olarak None ayarlayıntype:

identity: {
  type: 'None'
}

Sonraki adımlar

Uygulamayı izleme

Aracılığıyla paylaş