共用方式為

身分識別和授權

  • 發行項

本文說明已啟用 Azure Arc 的伺服器Microsoft Entra ID 受控識別,其用於與 Azure 通訊時進行驗證,並詳細說明兩個內建 RBAC 角色。

Microsoft Entra ID 受控識別

每個已啟用 Azure Arc 的伺服器都有一個系統指派Microsoft與其相關聯的 Entra ID 受控識別。 代理程式會使用此身分識別向 Azure 進行自我驗證。 擴充功能或系統上的其他授權應用程式也可以使用它來存取瞭解 OAuth 令牌的資源。 受控識別會出現在 Microsoft Entra ID 入口網站中,其名稱與已啟用 Azure Arc 的伺服器資源相同。 例如,如果您的已啟用 Azure Arc 的伺服器名稱為 prodsvr01,則Microsoft Entra 標識符中會出現具有相同名稱的企業應用程式。

每個Microsoft Entra ID 目錄都有可儲存之物件的有限限制。 受控識別會計算為目錄中的一個物件。 如果您打算部署已啟用 Azure Arc 的伺服器,請先檢查您Microsoft Entra ID 目錄中的可用配額,並視需要提交支援要求以取得更多配額。 您可以在 [directorySizeLimit] 區段下的列出組織 API 回應中看到可用且已使用的配額。

受控識別完全由代理程式管理。 只要代理程式保持連線到 Azure,就會自動處理輪替認證。 支援受控識別的憑證有效期為90天。 代理程式會在剩餘 45 天或更少的有效天數時,嘗試更新憑證。 如果代理程式離線的時間足以過期,代理程式也會變成「已過期」,而且不會連線到 Azure。 在此情況下,無法自動重新連線,因此您必須使用上線認證中斷連線,並將代理程式重新連線至 Azure。

受控識別憑證會儲存在系統的本機磁碟上。 請務必保護此檔案,因為擁有此憑證的任何人都可以向 Microsoft Entra ID 要求令牌。 代理程式會將憑證儲存在 Windows 上的 C:\ProgramData\AzureConnectedMachineAgent\Certs\ 和 Linux 上的 /var/opt/azcmagent/certs 中。 代理程式會自動將訪問控制清單套用至此目錄,限制本機系統管理員和“himds” 帳戶的存取權。 請勿修改憑證檔案的存取權,或自行修改憑證。 如果您認為系統指派受控識別的認證已遭入侵, 請中斷代理程式與 Azure 的連線 ,然後 再次連線 以產生新的身分識別和認證。 中斷代理程式聯機會移除 Azure 中的資源,包括其受控識別。

當系統上的應用程式想要取得受控識別的令牌時,它會向 位於 http://localhost:40342/identity的 REST 身分識別端點發出要求。 相較於 Azure VM,Azure Arc 處理此要求的方式稍有差異。 API 的第一個回應包含位於磁碟上之挑戰令牌的路徑。 挑戰令牌會儲存在 Windows 上的 C:\ProgramData\AzureConnectedMachineAgent\tokensLinux 上的 /var/opt/azcmagent/tokens 中。 呼叫端必須讀取檔案的內容,並在授權標頭中以此資訊重新發出要求,以證明他們具有此資料夾的存取權。 令牌目錄已設定為允許系統管理員和屬於「混合式代理程序擴充應用程式」(Windows)或「Linux」群組的任何身分識別讀取挑戰令牌。 如果您授權自定義應用程式使用系統指派的受控識別,您應該將其用戶帳戶新增至適當的群組,以授與其存取權。

若要深入了解如何搭配已啟用 Arc 的伺服器使用受控識別來驗證和存取 Azure 資源,請參閱下列影片。

RBAC 角色

Azure 中有兩個內建角色可用來控制已啟用 Azure Arc 之伺服器的存取:

  • Azure 連線機器上線,適用於用來將新電腦連線到 Azure Arc 的帳戶。此角色可讓帳戶查看並建立新的Arc伺服器,但不允許延伸模組管理。

  • Azure 連線機器資源管理員,適用於在伺服器連線後管理伺服器的帳戶。 此角色可讓帳戶讀取、建立及刪除 Arc 伺服器、VM 延伸模組、授權和私人連結範圍。

Azure 中的一般 RBAC 角色也適用於已啟用 Azure Arc 的伺服器,包括讀者、參與者和擁有者。

身分識別與存取控制

Azure 角色型存取控制可用於控制哪些帳戶可以查看和管理已啟用 Azure Arc 的伺服器。 從 Azure 入口網站的 [存取控制 (IAM)] 頁面,您可以確認誰可以存取已啟用 Azure Arc 的伺服器。

顯示已啟用 Azure Arc 的伺服器存取控制之 Azure 入口網站 螢幕快照。

取得該資源參與者或管理員角色存取權的使用者和應用程式可以變更該資源,包括在電腦上部署或刪除延伸模組。 延伸模組所含的任意指令碼可在特殊權限內容中執行,因此請考慮讓 Azure 資源上的任何參與者成為伺服器的間接管理員。

Azure Connected Machine 上線角色適用於大規模上線,而且只能在 Azure 中讀取或建立新的已啟用 Azure Arc 的伺服器。 其無法用來刪除已註冊的伺服器或管理延伸模組。 最佳做法是,建議只將此角色指派給用來大規模將電腦上線的 Microsoft Entra 服務主體。

身為 Azure Connected Machine 資源管理員角色成員的使用者可以讀取、修改、重新上線和刪除電腦。 此角色旨在支援管理已啟用 Azure Arc 的伺服器,但不支援資源群組或訂用帳戶中的其他資源。