在 Azure Kubernetes Service (AKS) 中使用受控識別

Azure Kubernetes Service （AKS） 叢集需要Microsoft Entra 身分識別，才能存取負載平衡器和受控磁碟等 Azure 資源。 Azure 資源的受控識別是授權從 AKS 叢集存取其他 Azure 服務的建議方式。

您可以使用受控識別，將 AKS 叢集的存取權授權給任何支援Microsoft Entra 授權的服務，而不需要管理認證或包含在程式碼中。 您會將受控識別指派給 Azure 角色型存取控制 （Azure RBAC） 角色，將許可權授與 Azure 中的特定資源。 例如，您可以將許可權授與受控識別，以存取 Azure 金鑰保存庫中的秘密，以供叢集使用。 如需有關 Azure RBAC 的詳細資訊，請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)？。

本文說明如何在新的或現有的 AKS 叢集上啟用下列類型的受控識別：

• 系統指派的受控識別。 系統指派的受控識別會與單一 Azure 資源相關聯，例如 AKS 叢集。 只有叢集的生命週期才會存在。
• 使用者指派的受控識別。 使用者指派的受控識別是獨立 Azure 資源，AKS 叢集可用來授權存取其他 Azure 服務。 它會與 AKS 叢集分開保存，而且可供多個 Azure 資源使用。
• 預先建立的 kubelet 受控識別。 預先建立的 kubelet 受控識別是選擇性的使用者指派身分識別，kubelet 可用來存取 Azure 中的其他資源。 如果您未為 kubelet 指定使用者指派的受控識別，AKS 會在節點資源群組中建立系統指派的 kubelet 身分識別。

若要深入瞭解受控識別，請參閱 適用於 Azure 資源的受控識別。

概觀

AKS 叢集會使用受控識別來要求來自 Microsoft Entra 的令牌。 這些令牌可用來授權存取 Azure 中執行的其他資源。 您可以將 Azure RBAC 角色指派給受控識別，以授與叢集存取特定資源的許可權。 例如，如果您的叢集需要存取 Azure 金鑰保存庫中的秘密，您可以將授與這些許可權的 Azure RBAC 角色指派給叢集的受控識別。

受控識別可以是系統指派或使用者指派。 這兩種類型的受控識別很類似，您可以使用任一類型來授權從 AKS 叢集存取 Azure 資源。 它們之間的主要差異在於，系統指派的受控識別與單一 Azure 資源相關聯，例如 AKS 叢集，而使用者指派的受控識別本身就是獨立的 Azure 資源。 如需受控識別類型差異的詳細資訊，請參閱 Azure 資源的受控識別中的受控識別類型。

這兩種類型的受控識別都是由 Azure 平臺所管理，因此您可以授權從應用程式存取權，而不需要布建或輪替任何秘密。 Azure 會為您管理身分識別的認證。

當您部署 AKS 叢集時，預設會為您建立系統指派的受控識別。 您也可以使用使用者指派的受控識別來建立叢集。

您也可以建立具有應用程式服務主體的叢集，而不是受控識別。 建議針對服務主體使用受控識別，以方便安全性和使用。 如需使用服務主體建立叢集的詳細資訊，請參閱搭配 Azure Kubernetes Service 使用服務主體（AKS）。

您可以更新現有的叢集，以從應用程式服務主體使用受控識別。 您也可以將現有的叢集更新為不同類型的受控識別。 如果您的叢集已經使用受控識別且身分識別已變更，例如，如果您已將叢集身分識別類型從系統指派更新為使用者指派，則控制平面元件切換至新的身分識別時會有延遲。 控制平面元件會繼續使用舊的身分識別，直到其令牌到期為止。 重新整理權杖之後，它們會切換至新的身分識別。 此程序可能需要數小時的時間。

系統指派和使用者指派的身分識別類型與Microsoft Entra Workload 身分識別不同，這是供在 Pod 上執行的應用程式使用。

開始之前

• 確定您已安裝 Azure CLI 2.23.0 版或更新版本。 執行 az --version 以尋找版本。 如果您需要安裝或升級，請參閱安裝 Azure CLI。

• 若要使用預先建立的 kubelet 受控識別，您需要安裝 Azure CLI 2.26.0 版或更新版本。

• 若要更新現有的叢集以使用 系統指派的受控識別 或 使用者指派的受控識別，您需要安裝 Azure CLI 2.49.0 版或更新版本。

執行本文中的範例之前，請先呼叫 az account set 命令並傳入您的訂用帳戶標識碼，將您的訂用帳戶設定為目前的使用中訂用帳戶。

az account set --subscription <subscription-id>

如果您還沒有 Azure 資源群組，請呼叫 az group create 命令來建立 Azure 資源群組。

az group create \
    --name myResourceGroup \
    --location westus2

啟用系統指派的受控識別

系統指派的受控識別是與 AKS 叢集或其他 Azure 資源相關聯的身分識別。 系統指派的受控識別會系結至叢集的生命週期。 刪除叢集時，也會刪除系統指派的受控識別。

AKS 叢集可以使用系統指派的受控識別來授權存取 Azure 中執行的其他資源。 您可以將 Azure RBAC 角色指派給系統指派的受控識別，以授與叢集存取特定資源的許可權。 例如，如果您的叢集需要存取 Azure 金鑰保存庫中的秘密，您可以將授與這些許可權的 Azure RBAC 角色指派給系統指派的受控識別。

在新的 AKS 叢集上啟用系統指派的受控識別

若要在新叢集上啟用系統指派的受控識別，請呼叫 az aks create。 系統指派的受控識別預設會在新的叢集上啟用。

使用 az aks create 命令建立 AKS 叢集。

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --generate-ssh-keys

若要在建立叢集之後確認叢集已啟用系統指派的受控識別，請參閱 判斷叢集所使用的受控識別類型。

更新現有的 AKS 叢集以使用系統指派的受控識別

若要更新使用服務主體改用系統指派的受控識別的現有 AKS 叢集，請使用 --enable-managed-identity 參數執行 az aks update 命令。

az aks update \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-managed-identity

更新叢集以使用系統指派的受控識別，而不是服務主體之後，控制平面和 Pod 會在存取 Azure 中的其他服務時，使用系統指派的受控識別進行授權。 Kubelet 會繼續使用服務主體，直到您也升級代理程式集池為止。 您可以在節點上使用 az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only 命令來更新為受控識別。 節點集區升級會導致 AKS 叢集停機，因為節點集區中的節點會受到封鎖、清空和重新映像。

注意

更新叢集時，請記住下列資訊：

• 只有在有要取用的 VHD 更新時，更新才會運作。 如果您要執行最新的 VHD，則需要等到下一個 VHD 可供使用，才能執行更新。

• Azure CLI 可確保在移轉之後正確設定附加元件的權限。 如果您未使用 Azure CLI 來執行移轉作業，則需要自行處理附加元件身分識別的權限。 如需使用 Azure Resource Manager (ARM) 範本的範例，請參閱使用 ARM 範本來指派 Azure 角色。

• 如果您的叢集用來 --attach-acr 從 Azure Container Registry （ACR） 提取映像，您必須在更新叢集之後執行 az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR resource ID> 命令，讓用於受控識別的新建立 kubelet 取得從 ACR 提取的許可權。 否則，您將無法在更新之後從 ACR 提取。

為系統指派的受控識別新增角色指派

您可以將 Azure RBAC 角色指派給系統指派的受控識別，以授與另一個 Azure 資源的叢集許可權。 Azure RBAC 同時支援指定許可權層級的內建和自定義角色定義。 如需指派 Azure RBAC 角色的詳細資訊，請參閱 指派 Azure 角色的步驟。

當您將 Azure RBAC 角色指派給受控識別時，您必須定義角色的範圍。 一般而言，最佳做法是將角色的範圍限制為受控識別所需的最低許可權。 如需界定 Azure RBAC 角色範圍的詳細資訊，請參閱 瞭解 Azure RBAC 的範圍。

當您建立並使用自己的 VNet、連結的 Azure 磁碟、靜態 IP 位址、路由表或使用者指派的 kubelet 身分識別時，資源位於背景工作節點資源群組外部，Azure CLI 會自動新增角色指派。 如果您使用 ARM 範本或其他方法，請使用受控識別的主體標識碼來執行角色指派。

如果您不是使用 Azure CLI，而是使用自己的 VNet、連結的 Azure 磁碟、靜態 IP 位址、路由表或位於背景工作節點資源群組外部的使用者指派 kubelet 身分識別，建議您針對控制平面使用使用者指派的受控識別。 當控制平面使用系統指派的受控識別時，身分識別會與叢集同時建立，因此在建立叢集之前，無法執行角色指派。

取得系統指派受控識別的主體標識碼

若要將 Azure RBAC 角色指派給叢集的系統指派受控識別，您必須先取得受控識別的主體識別符。 呼叫 az aks show 命令，以取得叢集系統指派受控識別的主體標識碼。

# Get the principal ID for a system-assigned managed identity.
CLIENT_ID=$(az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query identity.principalId \
    --output tsv)

將 Azure RBAC 角色指派給系統指派的受控識別

若要將系統指派的受控識別許可權授與 Azure 中的資源，請呼叫 az role assignment create 命令，將 Azure RBAC 角色指派給受控識別。

針對 VNet、連結的 Azure 磁碟、靜態 IP 位址或預設背景工作節點資源群組外的路由表，您需要在自訂資源群組上指派 Contributor 角色。

例如，使用 az role assignment create 命令在自定義資源群組上指派Contributor角色。 --scope針對 參數，提供叢集資源群組的資源標識符。

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Contributor" \
    --scope "<resource-group-id>"

注意

授與叢集受控識別的許可權最多可能需要 60 分鐘的時間才能傳播。

啟用使用者指派的受控識別

使用者指派的受控識別是獨立的 Azure 資源。 當您為控制平面建立具有使用者指派受控識別的叢集時，使用者指派的受控識別資源必須在叢集建立之前存在。 此功能可啟用使用自定義 VNet 建立叢集，或使用使用者定義路由的輸出類型 （UDR） 建立叢集等案例。

建立使用者指派的受控識別

如果您還沒有使用者指派的受控識別資源，請使用 az identity create 命令建立一個。

az identity create \
    --name myIdentity \
    --resource-group myResourceGroup

您的輸出應該類似下列範例輸出：

{                                  
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity", 
  "location": "westus2",
  "name": "myIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

取得使用者指派受控識別的主體標識碼

若要取得使用者指派受控識別的主體標識符，請在 屬性上principalId呼叫 az identity show 和 query：

CLIENT_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query principalId \
    --output tsv)

取得使用者指派受控識別的資源標識碼

若要建立具有使用者指派受控識別的叢集，您需要新受控識別的資源標識符。 若要取得使用者指派受控識別的資源標識符，請呼叫 az aks show 和 query on the id 屬性：

RESOURCE_ID=$(az identity show \
    --name myIdentity \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

將 Azure RBAC 角色指派給使用者指派的受控識別

建立叢集之前，請先呼叫 az role assignment create 命令來新增受控識別的角色指派。

下列範例會將 金鑰保存庫 秘密使用者角色指派給使用者指派的受控識別，以授與其存取密鑰保存庫中秘密的許可權。 角色指派的範圍是金鑰保存庫資源：

az role assignment create \
    --assignee $CLIENT_ID \
    --role "Key Vault Secrets User" \
    --scope "<keyvault-resource-id>"

注意

授與叢集受控識別的許可權可能需要 60 分鐘的時間才能傳播。

使用使用者指派的受控識別建立叢集

若要使用使用者指派的受控識別建立 AKS 叢集，請呼叫 az aks create 命令。 包含 參數， --assign-identity 並傳入使用者指派受控識別的資源識別碼：

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --assign-identity $RESOURCE_ID \
    --generate-ssh-keys

注意

Azure US Government 雲端中的 USDOD Central、USDOD East 和 USGov 愛荷華州區域不支援建立具有使用者指派受控識別的叢集。

更新現有的叢集以使用使用者指派的受控識別

若要更新現有的叢集以使用使用者指派的受控識別，請呼叫 az aks update 命令。 包含 參數， --assign-identity 並傳入使用者指派受控識別的資源識別碼：

az aks update \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --enable-managed-identity \
    --assign-identity $RESOURCE_ID

成功更新成使用使用者指派受控識別之叢集更新的輸出應該類似下列範例輸出：

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },

注意

將控制平面的受控識別從系統指派移轉至使用者指派，並不會產生控制平面和代理程式集區的任何停機時間。 控制平面元件會持續到舊系統指派的身分識別長達數小時，直到下一個令牌重新整理為止。

判斷叢集所使用的受控識別類型

若要判斷現有 AKS 叢集所使用的受控識別類型，請呼叫 az aks show 命令並查詢身分識別的類型屬性。

az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query identity.type \
    --output tsv       

如果叢集使用受控識別，則 type 屬性的值會是 SystemAssigned 或 UserAssigned。

如果叢集使用服務主體，則 type 屬性的值會是 Null。 請考慮升級叢集以使用受控識別。

使用預先建立的 kubelet 受控識別

預先建立的 kubelet 身分識別是在叢集建立之前存在的使用者指派受控識別。 這項功能可在叢集建立期間啟用連線至 Azure Container Registry （ACR） 等案例。

注意

如果您未指定自己的 kubelet 受控識別，則 AKS 會在節點資源群組中建立使用者指派的 kubelet 身分識別。

針對預設背景工作節點資源群組外部的使用者指派 kubelet 身分識別，您需要在 kubelet 身分識別上指派控制平面受控識別的受控識別操作員角色。

kubelet 受控識別

如果您沒有 kubelet 受控識別，則請使用 az identity create 命令來建立受控識別。

az identity create \
    --name myKubeletIdentity \
    --resource-group myResourceGroup

您的輸出應該與下列範例輸出類似：

{
  "clientId": "<client-id>",
  "clientSecretUrl": "<clientSecretUrl>",
  "id": "/subscriptions/<subscriptionid>/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity", 
  "location": "westus2",
  "name": "myKubeletIdentity",
  "principalId": "<principal-id>",
  "resourceGroup": "myResourceGroup",                       
  "tags": {},
  "tenantId": "<tenant-id>",
  "type": "Microsoft.ManagedIdentity/userAssignedIdentities"
}

將 RBAC 角色指派給 kubelet 受控識別

使用 az role assignment create 命令，以在 kubelet 身分識別上指派 Managed Identity Operator 角色。 為 $KUBELET_CLIENT_ID 變數提供 kubelet 身分識別的主體標識符。

az role assignment create \
    --assignee $KUBELET_CLIENT_ID \
    --role "Managed Identity Operator" \
    --scope "<kubelet-identity-resource-id>"

建立叢集以使用 kubelet 身分識別

現在，您可以使用現有身分識別來建立 AKS 叢集。 請務必包括 assign-identity 引數，以針對控制平面提供受控識別的資源識別碼，以及使用 assign-kubelet-identity 引數來提供 kubelet 受控識別。

使用 az aks create 命令，以使用現有身分識別來建立 AKS 叢集。

az aks create \
    --resource-group myResourceGroup \
    --name myManagedCluster \
    --network-plugin azure \
    --vnet-subnet-id <subnet-id> \
    --dns-service-ip 10.2.0.10 \
    --service-cidr 10.2.0.0/24 \
    --assign-identity <identity-resource-id> \
    --assign-kubelet-identity <kubelet-identity-resource-id> \
    --generate-ssh-keys

使用 kubelet 受控識別建立成功的 AKS 叢集應該會產生類似下列的輸出：

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

更新現有的叢集以使用 kubelet 身分識別

若要更新現有的叢集以使用 kubelet 受控識別，請先取得 AKS 叢集目前的控制平面受控識別。

警告

更新 kubelet 受控識別會升級 AKS 叢集的節點集區，這會導致叢集停機，因為節點集區中的節點會受到封鎖/清空並重新映像。

1. 使用 az aks show 命令，確認您的 AKS 叢集使用使用者指派受控識別。

   az aks show \
       --resource-group <RGName> \
       --name <ClusterName> \
       --query "servicePrincipalProfile"
   

   如果您的叢集要使用受控識別，則輸出會顯示值為 msi 的 clientId。 使用服務主體的叢集會顯示物件識別碼。 例如：

   # The cluster is using a managed identity.
   {
     "clientId": "msi"
   }
   

2. 確認叢集使用受控識別之後，請使用 az aks show 命令來尋找受控識別的資源識別碼。

   az aks show --resource-group <RGName> \
       --name <ClusterName> \
       --query "identity"
   

   針對使用者指派的受控識別，您的輸出應該看起來類似下列範例輸出：

   {
     "principalId": null,
     "tenantId": null,
     "type": "UserAssigned",
     "userAssignedIdentities": <identity-resource-id>
         "clientId": "<client-id>",
         "principalId": "<principal-id>"
   },
   

3. 使用 az aks update 命令，以使用現有身分識別來更新叢集。 為 自變數的控制平面 assign-identity 提供使用者指派受控識別的資源標識碼。 提供自變數之 kubelet 受控識別的資源標識碼 assign-kubelet-identity 。

   az aks update \
       --resource-group myResourceGroup \
       --name myManagedCluster \
       --enable-managed-identity \
       --assign-identity <identity-resource-id> \
       --assign-kubelet-identity <kubelet-identity-resource-id>
   

使用您自己的 kubelet 受控識別的成功叢集更新輸出應該類似下列範例輸出：

  "identity": {
    "principalId": null,
    "tenantId": null,
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myIdentity": {
        "clientId": "<client-id>",
        "principalId": "<principal-id>"
      }
    }
  },
  "identityProfile": {
    "kubeletidentity": {
      "clientId": "<client-id>",
      "objectId": "<object-id>",
      "resourceId": "/subscriptions/<subscriptionid>/resourcegroups/resourcegroups/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myKubeletIdentity"
    }
  },

注意

如果您的叢集使用 --attach-acr 從 Azure Container Registry 提取映像，請在更新叢集之後執行 az aks update --resource-group myResourceGroup --name myAKSCluster --attach-acr <ACR Resource ID> 命令，讓用於受控識別的新建立 kubelet 取得從 ACR 提取的許可權。 否則，您無法在升級之後從 ACR 提取。

取得 kubelet 身分識別的屬性

若要取得 kubelet 身分識別的屬性，請在 屬性上identityProfile.kubeletidentity呼叫 az aks show 和 query。

az aks show \
    --name myAKSCluster \
    --resource-group myResourceGroup \
    --query "identityProfile.kubeletidentity"

預先建立的 kubelet 身分識別限制

請注意預先建立 kubelet 身分識別的下列限制：

• 預先建立的 kubelet 身分識別必須是使用者指派的受控識別。
• 不支援 21Vianet 所營運 Microsoft Azure 中的中國東部和中國北部區域。

AKS 所使用的受控識別摘要

AKS 會針對內建服務和附加元件使用數個受控識別。

身分識別	名稱	使用案例	預設權限	自備識別
控制平面	AKS 叢集名稱	AKS 控制平面元件用來管理叢集資源，包括輸入負載平衡器和 AKS 受控公用 IP、叢集自動調整程式、Azure 磁碟、檔案、Blob CSI 驅動程式。	節點資源群組的參與者角色	支援
Kubelet	AKS 叢集名稱 - agentpool	使用 Azure Container Registry (ACR) 進行驗證。	N/A (針對 kubernetes v1.15+)	支援
附加元件	AzureNPM	不需要身分識別。	N/A	No
附加元件	AzureCNI 網路監視	不需要身分識別。	N/A	No
附加元件	azure-policy (gatekeeper)	不需要身分識別。	N/A	No
附加元件	azure-policy	不需要身分識別。	N/A	No
附加元件	Calico	不需要身分識別。	N/A	No
附加元件	application-routing	管理 Azure DNS 和 Azure Key Vault 憑證	金鑰保存庫 #D0117E610DD8649459163DED8D0328A5F 的秘密使用者角色、DNS 區域的 DNZ 區域參與者角色、私人 DNS 區域的 私用 DNS 區域參與者角色	No
附加元件	HTTPApplicationRouting	管理必要的網路資源。	節點資源群組的讀取者角色、DNS 區域的參與者角色	No
附加元件	輸入應用程式閘道	管理必要的網路資源。	節點資源群組的參與者角色	No
附加元件	omsagent	用來將 AKS 計量傳送至 Azure 監視器。	監視計量發行者角色	No
附加元件	Virtual-Node (ACIConnector)	管理 Azure 容器執行個體 (ACI) 所需的網路資源。	節點資源群組的參與者角色	No
附加元件	成本分析	用來收集成本配置資料
工作負載身分識別	Microsoft Entra 工作負載標識符	可讓應用程式使用 Microsoft Entra 工作負載標識元安全地存取雲端資源。	N/A	No

重要

Azure Kubernetes Service 中的開放原始碼 Microsoft Entra Pod 受控識別 (預覽) 已於 2022 年 10 月 24 日棄用，而且專案已於 2023 年 9 月封存。 如需詳細資訊，請參閱淘汰通知。 AKS Managed 附加元件將於 2024 年 9 月開始淘汰。

建議您檢閱 Microsoft Entra 工作負載 ID。 Entra 工作負載 ID 驗證會取代已被取代的 Pod 受控識別 （預覽） 功能。 Entra 工作負載 ID 是建議的方法，可讓在 Pod 上執行的應用程式，對支援它的其他 Azure 服務進行自我驗證。

限制

• 不支援將已啟用受控識別的叢集移至不同的租使用者。

• 如果叢集已啟用 Microsoft Entra Pod 受控識別 (aad-pod-identity)，則節點受控識別 (NMI) Pod 會修改節點的 iptable 來攔截對 Azure 執行個體中繼資料 (IMDS) 端點的呼叫。 此組態表示任何對 IMDS 端點提出的要求會遭到 NMI 攔截，即使特定 Pod 未使用 aad-pod-identity也一樣。

  AzurePodIdentityException 自定義資源定義 （CRD） 可以設定為指定來自 CRD 中定義之 Pod 比對卷標的 IMDS 端點的要求，應該在 NMI 中進行任何處理的情況下進行 Proxy 處理。 藉由設定 AzurePodIdentityException CRD，以在 中的 kube-system 命名空間aad-pod-identity中排除卷kubernetes.azure.com/managedby: aks標的系統 Pod。 如需詳細資訊，請參閱 在 Azure Kubernetes Service 中使用 Microsoft Entra Pod 受控識別。

  若要設定例外狀況，請安裝 mic-exception YAML。

• 使用自訂私人 DNS 區域時，AKS 不支援使用系統指派的受控識別。

下一步

• 使用 Azure Resource Manager 範本來建立已啟用受控識別的叢集。
• 了解如何在 AKS 中針對所有支援的 Microsoft Entra 驗證方法使用 kubelogin。