受控身分識別

適用範圍：適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器

開發人員常見的挑戰是管理用來保護不同服務之間通訊的祕密、認證、憑證和金鑰。 受控識別可免除開發人員管理這些認證的需求。

雖然開發人員可以安全地將祕密儲存在 Azure Key Vault 中，但是服務需要存取 Azure Key Vault 的方法。 受控識別在 Microsoft Entra ID 中提供自動受控識別，讓應用程式在連結到支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 權杖，而無需管理任何認證。

以下是使用受控識別的一些優點：

• 您不需要管理認證。 您甚至無法存取認證。
• 您可使用受控識別，驗證支援 Microsoft Entra 驗證的任何資源 (包括您自己的應用程式)。
• 不需任何額外成本，即可使用受控識別。

Azure 中可用的受控識別類型

受控身分識別有兩種：

• 系統指派：某些 Azure 資源類型，例如適用於 PostgreSQL 的 Azure 資料庫彈性伺服器，可讓您直接在資源上啟用受控識別。 它們稱為系統指派的受控識別。 當您啟用系統指派的受控識別時：

  • 特定類型的服務主體會在 Microsoft Entra ID 中建立，以進行識別。 服務主體會繫結至該 Azure 資源的生命週期。 刪除 Azure 資源時，Azure 會自動為您刪除服務主體。
  • 根據設計，只有該 Azure 資源可以使用此身分識別，自 Microsoft Entra ID 要求權杖。
  • 您可以授權與受控識別相關聯的服務主體存取一或多個服務。
  • 指派給與受控識別相關聯的服務主體的名稱，一律與建立受控識別的 Azure 資源名稱相同。

• 使用者指派：某些 Azure 資源類型也支援將使用者建立的受控識別指派為獨立資源。 這些識別的生命週期與其獲指派的資源生命周期無關。 它們可以指派給多個資源。 當您啟用使用者指派的受控識別時：

  • 特定類型的服務主體會在 Microsoft Entra ID 中建立，以進行識別。 服務主體會與使用它的資源分開管理。
  • 多個資源可以利用使用者指派的識別。
  • 您會為受控識別授權，使其擁有一或多個服務的存取權。

在 Azure Database for PostgreSQL 彈性伺服器中使用受控識別

適用於 PostgreSQL 的 Azure 資料庫彈性伺服器的系統指派受控識別，其使用者為：

• azure_storage 延伸模組，同時設定為使用 managed-identity 驗證類型存取儲存體帳戶。 如需詳細資訊，請參閱如何設定 azure_storage 延伸模組，以搭配 Microsoft Entra ID 使用授權。
• 來自適用於 PostgreSQL 的 Azure 資料庫彈性伺服器 (預覽) 的鏡像資料庫會使用系統指派的受控識別認證，來簽署您的彈性伺服器執行個體傳送至 Microsoft Fabric 中 Azure DataLake 服務的請求，以鏡像您指定的資料庫。

針對適用於 PostgreSQL 的 Azure 資料庫彈性伺服器設定的使用者指派的受控識別可用於：

• 使用客戶自控金鑰進行資料加密。

相關內容

• 在適用於 PostgreSQL 的 Azure 資料庫彈性伺服器中設定系統或使用者指派的受控識別。
• Azure Database for PostgreSQL 彈性伺服器的防火牆規則。
• Azure Database for PostgreSQL 彈性伺服器的公用存取與私有端點。
• Azure 資料庫中 PostgreSQL 彈性伺服器的虛擬網路整合。