建立並指派使用者指派的受控識別
在此操作指南中,您將了解如何:
- 為您的月台網路服務建立使用者指派的受控識別 (UAMI)。
- 指派該使用者指派的受控識別許可權。
使用者指派的受控識別和必要許可權的需求取決於網路服務設計(NSD),而且必須由網路服務設計工具與您通訊。
必要條件
您必須透過 建立自定義角色來建立自定義角色。 本文假設您已將自定義角色命名為 「自定義角色 - AOSM 服務操作員存取發行者」。
您的網路服務設計工具必須告訴您受控識別所需的其他許可權,以及SNS所使用的網路函數定義版本 (NFDV)。
若要執行這項工作,您需要從所選發行者的網路函式定義版本資源,透過「擁有者」或「使用者存取 管理員 istrator」角色。 您也必須擁有 「擁有者」或「使用者存取 管理員 istrator」角色指派的資源群組,才能建立受控識別並指派許可權。
建立使用者指派的受控識別
建立使用者指派的受控識別。 如需詳細資訊,請參閱 為您的 SNS 建立使用者指派的受控識別。
指派自定義角色
將自定義角色指派給使用者指派的受控識別。
選擇指派自定義角色的範圍
您需要指定自訂角色的發行者資源如下:
- 網路函數定義版本(s)
您必須決定要個別指派自定義角色給這個 NFDV,或指派給父資源,例如發行者資源群組或網路函數定義群組。
套用至父資源會授與所有子資源的存取權。 例如,套用至整個發行者資源群組可提供受控識別存取權:
所有網路函式定義群組和版本。
所有網路服務設計群組和版本。
所有組態群組架構。
自訂角色許可權會限制存取這裡顯示的許可權清單:
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkFunctionDefinitionGroups/NetworkFunctionDefinitionVersions/read
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/use/action
Microsoft.HybridNetwork/Publishers/NetworkServiceDesignGroups/NetworkServiceDesignVersions/read
Microsoft.HybridNetwork/Publishers/ConfigurationGroupSchemas/read
注意
請勿提供對這些發行者資源的任何寫入或刪除存取權。
指派自定義角色
存取 Azure 入口網站 並開啟您選擇的範圍;發行者資源群組或網路函式定義版本。
在此專案的側邊功能表中,選取 [存取控制 (IAM)]。
選擇 [ 新增角色指派]。
在 [作業函式角色] 下,於清單中尋找您的自定義角色,然後繼續進行 [下一步]。
選取 [受控識別],然後選擇 [+ 選取成員 ],然後尋找並選擇新的受控識別。 選擇選取。
選取 [檢閱並指派]。
重複角色指派
針對所有選取範圍重複角色指派工作。
將受控識別操作員角色指派給受控識別本身
移至 Azure 入口網站 並搜尋受控識別。
從受控識別清單中選取 identity-for-nginx-sns。
在側邊功能表上,選取 [存取控制 [IAM]。
選擇 [新增角色指派 ],然後選取 [受控識別操作員 ] 角色。
選取受控 識別操作員 角色。
選取 [受控身分識別]。
選取 [+ 選取成員 ],然後瀏覽至使用者指派的受控識別,然後繼續進行指派。
![顯示已選取受控識別的 [新增角色指派] 畫面的螢幕快照。](media/managed-identity-user-assigned-ubuntu.png)
![顯示已選取受控識別的 [新增角色指派] 畫面的螢幕快照。](media/managed-identity-user-assigned-ubuntu.png#lightbox)
完成本文中所述的所有工作,可確保網站網路服務 (SNS) 具有在指定 Azure 環境中有效運作的必要許可權。
將其他必要許可權指派給受控識別
重複此程式,將任何其他許可權指派給網路服務設計工具識別的受控識別。