探讨使用托管标识进行身份验证
有多种方法可用于对容器注册表实例进行身份验证,每个实例都适用于一个或多个使用方案。
建议的方法包括:
- 使用单个登录名直接进行身份验证。
- 使用服务主体进行身份验证。
- 使用托管标识进行身份验证。
为什么将托管标识与容器注册表结合使用?
Azure 资源的托管标识可用于从另一个 Azure 资源向 Azure 容器注册表进行身份验证,而无需提供或管理注册表凭据。 例如,在 Linux VM 上设置用户分配的或系统分配的托管标识,以便像使用公共注册表一样轻松地从容器注册表访问容器映像。 或者,设置 Azure Kubernetes 服务群集以使用其托管标识从 Azure 容器注册表拉取容器映像进行 Pod 部署。
有两种类型的托管标识:系统分配和用户分配。 系统分配的托管标识的生命周期与创建它们的资源相关联。 用户分配的托管标识可用于多个资源。
可以创建用户分配的托管标识并将其分配给一个或多个 Azure 资源。 启用用户分配的托管标识时:
- 在 Microsoft Entra ID 中为某个标识创建了一种特殊类型的服务主体。 该服务主体的管理与使用它的资源是分开的。
- 多个资源可以使用托管标识。
- 你授权托管标识访问一个或多个服务。
创建用户分配的托管标识
可以使用 Azure 门户、Azure CLI、PowerShell、资源管理器或 REST 创建用户分配的托管标识。
备注
若要创建用户分配的托管标识,您的帐户需要 托管标识创建者 角色分配(或具备更高权限的角色,例如 所有者)。
若要使用 Azure CLI 创建用户分配的托管标识,请使用 az identity create 命令。 -g 参数指定用户分配的托管标识的资源组。 -n 参数指定用户分配的托管标识的名称。 例如,以下命令在名为 RG1的资源组中创建名为 uami-apl2003 的用户分配托管标识:
az identity create -g RG1 -n uami-apl2003
重要
创建用户分配的托管标识时,仅支持字母数字字符(0-9、a-z 和 A-Z)和连字符(-)。 要使虚拟机或虚拟机规模集的分配正常工作,该名称限制为 24 个字符。
若要在 Azure 门户中创建用户分配的托管标识,请选择 创建资源,然后查找 标识 类别下列出的服务,或搜索 用户分配的托管标识。
在“创建用户分配的托管标识”页上,指定 订阅、资源组、区域和 名称的值。
