共用方式為


設定實驗室身分識別

建置雲端應用程式常見的難題是如何管理程式碼中的認證,以向雲端服務進行驗證。 保護好這些認證是相當重要的工作。 在理想情況下,這些認證永不會出現在開發人員工作站且簽入原始程式碼控制。 Azure Key Vault 可安全地儲存認證、祕密和其他金鑰,但是您的程式碼必須向 Key Vault 進行驗證,才可擷取這些項目。

Microsoft Entra 中的 Azure 資源受控識別功能可解決此問題。 該功能為 Azure 服務提供 Microsoft Entra ID 中的自動受控識別。 您可以使用此身分識別來向任何支援 Microsoft Entra 驗證的服務 (包括 Key Vault) 進行驗證,且您的程式碼中不需有任何認證。 深入了解 Azure 上的受控識別

受控身分識別有兩種:

系統指派的受控識別

系統指派的受控識別可直接在 Azure 服務執行個體上啟用。 啟用此身分識別時,Azure 會在執行個體的訂用帳戶所信任的 Microsoft Entra 租用戶中,建立執行個體的身分識別。 建立身分識別後,就會將認證佈建到執行個體。 系統指派的身分識別生命週期,會直接繫結至已啟用該身分識別的 Azure 服務執行個體。 如果執行個體已刪除,則 Azure 會自動清除 Microsoft Entra 中的認證和身分識別。

使用實驗室系統指派身分識別的案例

每個 DevTest Labs 都是使用系統指派的身分識別來建立,該身分識別會在實驗室的生命週期中維持有效狀態。 系統指派的身分識別用於下列用途:

  • 所有用來加速多 VM 和/或平台即服務環境的 Azure Resource Manager 型部署,都會使用實驗室的系統指派身分識別來執行
  • 透過實驗室的系統指派身分識別,支援使用客戶自控金鑰進行實驗室磁碟的磁碟加密。 實驗室可以提供實驗室身分識別的明確存取權以存取磁碟加密集,代表您將所有虛擬機器磁碟加密。 深入了解如何使用客戶自控金鑰為實驗室磁碟啟用磁碟加密

設定身分識別

本節示範如何設定實驗室的身分識別原則。

注意

對於在 2020 年 8 月 10 日之前建立的實驗室,系統指派的身分識別會設定為 [關閉]。 身為實驗室擁有者,您可以將其開啟,以免您想針對上一節所列的目的使用實驗室。

對於在 2020 年 8 月 10 日之後建立的新實驗室,實驗室的系統指派身分識別會預設為 [開啟],實驗室擁有者將無法在實驗室的生命週期中關閉此設定。

  1. 登入 Azure 入口網站
  2. 搜尋 DevTest Labs
  3. 從實驗室清單中,選取所需的實驗室。
  4. 選取 [設定與原則] ->[身分識別 (預覽)]

Configure identity

使用者指派的受控識別

使用者指派的受控識別會以獨立 Azure 資源的形式建立。 透過建立程序,Azure 會在所使用訂用帳戶信任的 Microsoft Entra 租用戶中建立身分識別。 建立身分識別之後,即可將它指派給一個或多個 Azure 服務執行個體。 使用者指派的身分識別與獲指派此身分識別的 Azure 服務執行個體,兩者的生命週期分開管理。

DevTest Labs 支援虛擬機器和 Azure Resource Manager 型環境的使用者指派身分識別。 如需詳細資訊,請參閱下列主題:

下一步

檢閱設定成本管理