系統指派的受控身分識別

本文提供逐步指示，說明如何啟用或停用「適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器」執行個體的系統指派受控識別。

為現有伺服器啟用的步驟

Portal

使用 Azure 入口網站：

1. 請在入口網站中找出您的伺服器 (如果您未將它開啟)。 其中一種方法是在搜尋列中輸入伺服器的名稱。 顯示具有相符名稱的資源時，請選取該資源。

   

2. 在資源功能表的 [安全性] 底下，選取 [身分識別]。

   

3. 在 [系統指派的受控識別] 區段中，選取 [開啟]。

   

4. 選取 [儲存]。

   

5. 如果伺服器已將資料加密設定為使用客戶自控金鑰，則在您啟用伺服器的系統指派受控識別後不支援停用它。 因此，如果偵測到該情況，則會要求您確認是否要啟用系統指派的受控識別。

   

6. 流程完成後，會顯示通知，告知您系統指派的受控識別已啟用。

   

命令列介面

az postgres flexible-server update 命令尚未提供內建的支援來啟用和停用系統指派的受控識別。 因應措施是，您可以使用 az rest 命令來直接叫用伺服器 - 更新 REST API。

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

為現有伺服器停用的步驟

Portal

使用 Azure 入口網站：

1. 請在入口網站中找出您的伺服器 (如果您未將它開啟)。 其中一種方法是在搜尋列中輸入伺服器的名稱。 顯示具有相符名稱的資源時，請選取該資源。

   

2. 在資源功能表的 [安全性] 底下，選取 [身分識別]。

   

3. 在 [系統指派的受控識別] 區段中，選取 [關閉]。

   

4. 選取 [儲存]。

   

5. 流程完成後，會顯示通知，告知您系統指派的受控識別已停用。

   

命令列介面

az postgres flexible-server update 命令尚未提供內建的支援來啟用和停用系統指派的受控識別。 因應措施是，您可以使用 az rest 命令來直接叫用伺服器 - 更新 REST API。

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

顯示目前指派項目的步驟

Portal

使用 Azure 入口網站：

1. 請在入口網站中找出您的伺服器 (如果您未將它開啟)。 其中一種方法是在搜尋列中輸入伺服器的名稱。 顯示具有相符名稱的資源時，請選取該資源。

   

2. 在資源功能表中，選取 [概觀]

   

3. 選取 [JSON 檢視]。

   

4. 在開啟的 [資源 JSON] 面板中，尋找 [身分識別] 屬性，並在其中您可以找到系統指派的受控識別的 principalId 和 tenantId。

   

命令列介面

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list \
  --resource-group $resourceGroup \
  --server-name $server \
  --query "{principalId:principalId, tenantId:tenantId}" \
  --output table

在 Microsoft Entra ID 中驗證的步驟

Portal

使用 Azure 入口網站：

1. 在入口網站中尋找 [企業應用程式] 服務 (如果您尚未開啟它的話)。 其中一種方法是在搜尋列中輸入其名稱。 當顯示具有相符名稱的服務時，請選取它。

   

2. 選擇 [應用程式類型 == 受控識別]。

3. 在 [依應用程式名稱或物件識別碼搜尋] 文字方塊中，輸入您的「適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器」執行個體的名稱。

   

命令列介面

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

相關內容

• 使用者指派的受控識別