為 Azure 監視器 SCOM 受控執行個體建立使用者指派的身分識別
本文說明如何建立使用者指派的身分識別、為系統管理員提供 Azure SQL 受控執行個體的存取權,以及在金鑰保存庫上授與 [取得] 和 [列出] 存取權。
注意
若要了解 Azure 監視器 SCOM 受控執行個體架構,請參閱 Azure 監視器 SCOM 受控執行個體。
建立受控服務識別
受控服務識別 (MSI) 可為應用程式提供身分識別,以在其連線至支援 Microsoft Entra ID 驗證的資源時使用該身分識別。 針對 SCOM 受控執行個體,受控識別會取代傳統的四個 System Center Operations Manager 服務帳戶。 其用來存取 Azure SQL 受控執行個體資料庫。 其也可用來存取金鑰保存庫。
注意
- 確定您是建立 MSI 的訂用帳戶中的參與者。
- MSI 必須具有 SQL 受控執行個體的管理員權限,以及您用來儲存網域帳戶認證的金鑰保存庫讀取權限。
登入 Azure 入口網站。 搜尋並選取 [受控識別]。
在 [受控識別] 頁面上,選取 [建立]。
[建立使用者指派的受控識別] 窗格隨即開啟。
在 [基本] 下方,執行下列步驟:
- 專案詳細資料:
- 訂用帳戶:選取您要在其中建立 SCOM 受控執行個體的 Azure 訂用帳戶。
- 資源群組:選取您要建立 SCOM 受控執行個體的資源群組。
- 執行個體詳細資料:
- 區域:選取要用來建立 SCOM 受控執行個體的區域。
- 名稱:輸入執行個體的名稱。
- 專案詳細資料:
選取 [下一步:標記]。
在 [標籤] 索引標籤上,輸入 [名稱] 值,然後選取資源。
標籤協助您將相同的標籤套用至多項資源與資源群組,以便替資源分類及檢視合併的帳單。 如需詳細資訊,請參閱使用標籤來組織 Azure 資源和管理階層。
完成時,選取 [下一步:檢閱 + 建立]。
在 [檢閱 + 建立] 索引標籤上檢閱您提供的資訊,然後選取 [建立]。
現在會在 Azure 建立您的部署。 您可以存取資源並檢視其詳細資料。
在 SQL 受控執行個體中設定 Microsoft Entra 系統管理員值
若要在您在步驟 3 中建立的 SQL 受控執行個體中設定 Microsoft Entra 系統管理員值,請遵循下列步驟:
注意
您必須具有訂用帳戶的特殊權限角色管理員權限,才能執行下列作業。
重要
目前不支援使用群組做為 Microsoft Entra 系統管理員。
開啟 SQL 受控執行個體。 在 [設定] 下,選取 [Microsoft Entra 系統管理員]。
選取錯誤方塊訊息,在 Microsoft Entra ID 上提供 SQL 受控執行個體的 [讀取] 權限。 [授與權限] 窗格隨即開啟,以授與權限。
選取 [授與權限] 以起始作業,一旦作業完成後,您就可以找到成功更新 Microsoft Entra 讀取權限的通知。
選取 [設定系統管理員],然後搜尋您的 MSI。 此 MSI 與您在 SCOM 受控執行個體建立流程期間所提供的 MSI 相同。 您會發現系統管理員已新增至 SQL 受控執行個體。
如果您在新增受控識別帳戶之後收到錯誤,表示尚未向您的身分識別提供讀取權限。 建立 SCOM 受控執行個體之前,請務必提供必要的權限,否則 SCOM 受控執行個體建立會失敗。
如需權限的詳細資訊,請參閱 Microsoft Entra ID 中 Azure SQL 的目錄讀取者角色。
授與金鑰保存庫的權限
若要授與您在步驟 4 中所建立金鑰保存庫的權限,請遵循下列步驟:
移至您在步驟 4 中所建立的金鑰保存庫資源,然後選取 [存取原則]。
在 [存取原則] 頁面上,選取 [建立]。
![顯示 [存取原則] 頁面的螢幕擷取畫面。](media/create-user-assigned-identity/access-policies.png)
在 [權限] 索引標籤中,選取 [取得] 和 [列出] 選項。
![顯示 [建立存取原則] 頁面的螢幕擷取畫面。](media/create-user-assigned-identity/create-access-policy.png)
選取 [下一步]。
在 [主體] 索引標籤上,輸入您所建立 MSI 的名稱。
選取 [下一步]。 選取您在 SQL 受控執行個體系統管理員設定中使用的相同 MSI。
![顯示 [主體] 索引標籤的螢幕擷取畫面。](media/create-user-assigned-identity/principal.png)
選取 [下一步]>[建立]。