使用受控識別檢查驗證

已完成

有數種方式可以向容器登錄實例進行驗證，每個實例都適用於一或多個使用案例。

建議的方式包括：

• 直接使用個別登入進行驗證。
• 使用服務主體進行驗證。
• 使用受控識別進行驗證。

為什麼要搭配容器登錄使用受控識別？

Azure 資源的受控識別可用來從另一個 Azure 資源向 Azure 容器登錄進行驗證，而不需要提供或管理登錄認證。 例如，在 Linux VM 上設定使用者指派或系統指派的受控識別來存取容器登錄中的容器映像，就像使用公用登錄一樣容易。 或者，設定 Azure Kubernetes Service 叢集以使用其受控識別，從 Azure Container Registry 提取容器映射以進行 Pod 部署。

受控識別有兩種類型：系統指派和使用者指派。 系統指派的受控識別，其生命週期與建立它們的資源緊密相連。 使用者指派的受控識別可用於多個資源。

您可以建立使用者指派的受控識別，並指派給一或多個 Azure 資源。 啟用使用者指派的受控識別時：

• 在該身分識別的 Microsoft Entra ID 中建立特殊型別的服務主體。 服務主體會與使用它的資源分開管理。
• 多個資源可以使用受控識別。
• 您可以授權受控識別存取一或多個服務。

建立使用者指派的管理型身分識別

您可以使用 Azure 入口網站、Azure CLI、PowerShell、Resource Manager 或 REST 來建立使用者指派的受控識別。

備註

若要建立使用者指派的受控識別，您的帳戶需要 受控識別參與者 角色指派（或具有更高許可權的角色，例如 擁有者）。

若要使用 Azure CLI 建立使用者指派的受控識別，請使用 az identity create 命令。 參數 -g 會指定使用者指派受控識別的資源群組。 參數 -n 會指定使用者指派的受控識別名稱。 例如，下列命令會在名為 RG1 的資源群組中建立名為 uami-apl2003 的使用者指派受控識別：

az identity create -g RG1 -n uami-apl2003

這很重要

建立使用者指派的受控識別時，僅支援使用英數位元 (0-9、a-z 和 A-Z) 和連字號 (-)。 若要讓虛擬機器或虛擬機器擴展集的指派正常運作，名稱長度上限為 24 個字元。

若要在 Azure 入口網站中建立使用者指派的受控識別，請選取 [ 建立資源]，然後尋找 [ 身分識別 ] 類別下所列的服務，或搜尋 使用者指派的受控識別。

在 [ 建立使用者指派的受控識別 ] 頁面上，指定 [訂用帳戶]、 [資源群組]、[ 區域] 和 [ 名稱] 的值。