使用 Azure 負載測試的受控識別
本文內容
本文說明如何建立 Azure 負載測試的受控識別。 您可以使用受控識別,在負載測試中安全地從 Azure 金鑰保存庫 讀取秘密或憑證。
來自 Microsoft Entra 識別碼的受控識別可讓您的負載測試資源輕鬆地存取受 Microsoft Entra 保護的 Azure 金鑰保存庫。 身分識別是由 Azure 平臺所管理,不需要您管理或輪替任何秘密。 如需 Microsoft Entra ID 中受控識別的詳細資訊,請參閱 Azure 資源的 受控識別。
Azure 負載測試支援兩種類型的身分識別:
系統指派的身 分識別會與您的負載測試資源相關聯,並在刪除資源時刪除。 資源只能有一個系統指派的身分識別。使用者指派的身 分識別是獨立的 Azure 資源,您可以指派給負載測試資源。 當您刪除負載測試資源時,受控識別仍可供使用。 您可以將多個使用者指派的身分識別指派給負載測試資源。
目前,您只能使用受控識別來存取 Azure 金鑰保存庫。
必要條件
具有有效訂用帳戶的 Azure 帳戶。 如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶 。
Azure 負載測試資源。 如果您需要建立 Azure 負載測試資源,請參閱快速入門 建立和執行負載測試 。
若要建立使用者指派的受控識別,您的帳戶需要 受控識別參與者 角色指派。
將系統指派的身分識別指派給負載測試資源
若要為 Azure 負載測試資源指派系統指派的身分識別,請在資源上啟用 屬性。 您可以使用 Azure 入口網站 或使用 Azure Resource Manager (ARM) 範本來設定此屬性。
若要在入口網站中設定受控識別,請先建立 Azure 負載測試資源,然後啟用此功能。
在 Azure 入口網站 中,移至您的 Azure 負載測試資源。
在左窗格上,選取身分識別 。
在 [系統指派] 索引 標籤中,將 [狀態] 切換 為 [開啟 ],然後選取 [儲存 ]。
在確認視窗中,選取 [ 是 ] 以確認受控識別的指派。
此作業完成之後,頁面會顯示 受控識別的物件識別符 ,並可讓您為其指派許可權。
使用 az load update 執行 命令 --identity-type SystemAssigned ,將系統指派的身分識別新增至負載測試資源:
az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned
您可以使用ARM範本,將 Azure 資源的部署自動化。 如需搭配 Azure 負載測試使用 ARM 範本的詳細資訊,請參閱 Azure 負載測試 ARM 參考檔 。
當您建立 類型的 Microsoft.LoadTestService/loadtests資源時,您可以指派系統指派的受控識別。 使用 identity 資源定義的值來設定 屬性 SystemAssigned :
"identity": {
"type": "SystemAssigned"
}
藉由新增系統指派的身分識別類型,您會告訴 Azure 建立和管理資源的身分識別。 例如,Azure 負載測試資源看起來可能如下所示:
{
"type": "Microsoft.LoadTestService/loadtests",
"apiVersion": "2021-09-01-preview",
"name": "[parameters('name')]",
"location": "[parameters('location')]",
"tags": "[parameters('tags')]",
"identity": {
"type": "SystemAssigned"
}
}
資源建立完成之後,會為資源設定下列屬性:
"identity": {
"type": "SystemAssigned",
"tenantId": "00000000-0000-0000-0000-000000000000",
"principalId": "00000000-0000-0000-0000-000000000000"
}
屬性 tenantId 會識別受控識別所屬的 Microsoft Entra 租使用者。 principalId是資源新身分識別的唯一標識符。 在 Microsoft Entra 識別符內,服務主體的名稱與 Azure 負載測試資源相同。
將使用者指派的身分識別指派給負載測試資源
您必須先在 Microsoft Entra ID 中建立此身分識別,才能將使用者指派的受控識別新增至 Azure 負載測試資源。 然後,您可以使用其資源標識符來指派身分識別。
您可以將多個使用者指派的受控識別新增至您的資源。 例如,如果您需要存取多個 Azure 資源,您可以將不同的許可權授與每個身分識別。
依照建立使用者指派的受控識別中所述 的指示,建立使用者指派的受控識別 。
在 Azure 入口網站 中,移至您的 Azure 負載測試資源。
在左窗格上,選取身分識別 。
選取 [ 用戶指派] 索引 標籤,然後選取 [ 新增 ]。
搜尋並選取您先前建立的受控識別。 然後,選取 [ 新增 ] 將其新增至 Azure 負載測試資源。
建立使用者指派的身分識別。
az identity create --resource-group <group-name> --name <identity-name>
使用 az load update 執行 命令 --identity-type UserAssigned ,將使用者指派的身分識別新增至負載測試資源:
az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
您可以使用 ARM 樣本和資源類型 Microsoft.LoadTestService/loadtests來建立 Azure 負載測試資源。 如需搭配 Azure 負載測試使用 ARM 範本的詳細資訊,請參閱 Azure 負載測試 ARM 參考檔 。
依照建立使用者指派的受控識別中所述 的指示,建立使用者指派的受控識別 。
在資源定義的 區段中指定使用者指派的受控識別 identity 。
以 <RESOURCEID> 使用者指派身分識別的資源識別碼取代文字佔位元:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {}
}
}
下列代碼段示範具有使用者指派身分識別的 Azure Load Testing ARM 資源定義範例:
{
"type": "Microsoft.LoadTestService/loadtests",
"apiVersion": "2021-09-01-preview",
"name": "[parameters('name')]",
"location": "[parameters('location')]",
"tags": "[parameters('tags')]",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {}
}
}
建立負載測試資源之後,Azure 會在輸出中提供 principalId 和 clientId 屬性:
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"<RESOURCEID>": {
"principalId": "00000000-0000-0000-0000-000000000000",
"clientId": "00000000-0000-0000-0000-000000000000"
}
}
}
principalId是用於 Microsoft Entra 系統管理之身分識別的唯一標識碼。 clientId是資源新身分識別的唯一標識碼,用於指定運行時間呼叫期間要使用的身分識別。
您可能需要設定目標資源,以允許從負載測試資源存取。 例如,如果您從 Azure 金鑰保存庫 讀取秘密或憑證,或是使用客戶管理的密鑰進行加密 ,您也必須新增包含資源受控識別的存取原則。 否則,即使您使用有效的令牌,您對 Azure 金鑰保存庫 的呼叫仍會遭到拒絕。
相關內容
