配置 Azure 数据资源管理器群集的托管标识

借助 Azure Active Directory 中的托管标识,群集可轻松访问其他受 Azure AD 保护的资源,如 Azure 密钥保管库。 标识由 Azure 平台托管,无需预配或轮换任何机密。 当前支持托管标识配置只是为了为群集启用客户管理的密钥

有关托管标识的概述,请参阅在 Azure 数据资源管理器群集中使用托管标识进行身份验证

可授予 Azure 数据资源管理器群集两种类型的标识:

  • 系统分配的标识:绑定到你的群集,在资源被删除时删除。 一个群集只能有一个系统分配的标识。
  • 用户分配的标识:可分配给群集的独立 Azure 资源。 一个群集可具有多个用户分配的标识。

本文介绍如何为数据资源管理器群集添加和删除系统分配的和用户分配的托管标识。

注意

如果在订阅或租户之间迁移了 Azure 数据资源管理器群集,Azure 数据资源管理器的托管标识将不会按预期工作。 应用需要获取新标识,这可以通过禁用重新启用该功能来完成。 还需要更新下游资源的访问策略才能使用新标识。

添加系统分配的标识

分配一个系统分配的标识,该标识绑定到群集,在群集被删除时删除。 一个群集只能有一个系统分配的标识。 使用系统分配的标识创建群集需要在该群集上设置一个额外的属性。 使用 Azure 门户、C# 或资源管理器模板添加系统分配的标识,详情如下所示。

使用 Azure 门户添加系统分配的标识

登录到 Azure 门户

新建 Azure 数据资源管理器群集

  1. 创建 Azure 数据资源管理器群集

  2. 在“安全性”选项卡 >“系统分配标识”中,选择“打开”。 若要删除系统分配的标识,请选择“关闭”。

  3. 选择“下一步: 标记 >”或“查看 + 创建”,创建此群集。

    将系统分配的标识添加到新群集。

现有的 Azure 数据资源管理器群集

  1. 打开现有的 Azure 数据资源管理器群集。

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 在“标识”窗格 >“系统分配”选项卡中:

    1. 将“状态”滑块移到“打开”。
    2. 选择“保存”
    3. 在弹出窗口中选择“是”

    添加系统分配的标识。

  4. 几分钟后,屏幕显示:

    • 对象 ID - 用于客户管理的密钥
    • 权限 - 选择相关角色分配

    系统分配的标识处于打开状态。

删除系统分配的标识

删除系统分配的标识也会将其从 Azure AD 中删除。 删除群集资源时,也会自动从 Azure AD 中删除系统分配的标识。 可以通过禁用该功能来删除系统分配的标识。 使用 Azure 门户、C# 或资源管理器模板删除系统分配的标识,详情如下所示。

使用 Azure 门户删除系统分配的标识

  1. 登录到 Azure 门户

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 在“标识”窗格 >“系统分配”选项卡中:

    1. 将“状态”滑块移到“关闭”。
    2. 选择“保存”
    3. 在弹出窗口中选择“是”,禁用系统分配的标识。 “标识”窗格恢复到与添加系统分配标识之前相同的状况。

    系统分配的标识处于关闭状态。

添加用户分配的标识

将用户分配的托管标识分配给群集。 一个群集可拥有多个用户分配的标识。 使用用户分配的标识创建群集需要在该群集上设置一个额外的属性。 使用 Azure 门户、C# 或资源管理器模板添加用户分配的标识,详情如下所示。

使用 Azure 门户添加用户分配的标识

  1. 登录 Azure 门户

  2. 创建用户分配的托管标识资源

  3. 打开现有的 Azure 数据资源管理器群集。

  4. 在门户的左窗格中,选择“设置”>“标识”。

  5. 在“用户分配”选项卡中,选择“添加” 。

  6. 搜索之前创建的标识并选择它。 选择 添加

    添加用户分配的标识。

从群集中删除用户分配的托管标识

使用 Azure 门户、C# 或资源管理器模板删除用户分配的标识,详情如下所示。

使用 Azure 门户删除用户分配的托管标识

  1. 登录到 Azure 门户

  2. 在门户的左窗格中,选择“设置”>“标识”。

  3. 选择“用户分配”选项卡。

  4. 搜索之前创建的标识并选择它。 选择“删除” 。

    删除用户分配的标识。

  5. 在弹出窗口中,选择“是”,删除用户分配的标识。 “标识”窗格会还原到与添加用户分配的标识之前相同的状态。

后续步骤