Co jsou spravované identity pro prostředky Azure?
Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje.
I když vývojáři můžou bezpečně ukládat tajné kódy ve službě Azure Key Vault, potřebují služby způsob, jak získat přístup ke službě Azure Key Vault. Spravované identity nabízejí ve službě Microsoft Entra ID automaticky spravované identity aplikací používaných při připojování k prostředkům, které podporují ověřování službou Microsoft Entra. Aplikace mohou spravované identity používat k získání tokenů Microsoft Entra, aniž by musely spravovat přihlašovací údaje.
Následující video ukazuje, jak můžete používat spravované identity:
Tady jsou některé z výhod použití spravovaných identit:
- Nemusíte spravovat přihlašovací údaje. Přihlašovací údaje nejsou pro vás ani přístupné.
- Spravované identity můžete použít k ověření u libovolného prostředku, který podporuje ověřování Microsoft Entra, včetně vlastních aplikací.
- Spravované identity lze používat bez dalších nákladů.
Poznámka:
Spravované identity prostředků Azure jsou novým názvem služby, která se dříve jmenovala Identita spravované služby (MSI).
Typy spravovaných identit
Existují dva typy spravovaných identit:
Systém je přiřazen. Některé prostředky Azure, jako jsou virtuální počítače, umožňují povolit spravovanou identitu přímo na prostředku. Když povolíte spravovanou identitu přiřazenou systémem:
- Instanční objekt speciálního typu se vytvoří v ID Microsoft Entra pro identitu. Instanční objekt je svázán s životním cyklem daného prostředku Azure. Když se prostředek Azure odstraní, Azure automaticky odstraní instanční objekt za vás.
- Z podstaty této identity vyplývá, že ji může k vyžadování tokenů z Microsoft Entra ID používat pouze daný prostředek Azure.
- Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.
- Název systémem přiřazeného služebního principálu je vždy stejný jako název prostředku Azure, pro který je vytvořen. V případě slotu nasazení je
<app-name>/slots/<slot-name>
název jeho identity přiřazené systémem .
Přiřazeno uživatelem. Spravovanou identitu můžete vytvořit také jako samostatný prostředek Azure. Můžete vytvořit spravovanou identitu přiřazenou uživatelem a přiřadit ji k jednomu nebo více prostředkům Azure. Když povolíte spravovanou identitu přiřazenou uživatelem:
- Instanční objekt speciálního typu se vytvoří v ID Microsoft Entra pro identitu. Instanční objekt se spravuje odděleně od prostředků, které ho používají.
- Identity přiřazené uživatelem můžou používat více prostředků.
- Spravovanou identitu autorizujete tak, aby měla přístup k jedné nebo více službám.
Následující tabulka ukazuje rozdíly mezi dvěma typy spravovaných identit:
Vlastnost | Spravovaná identita přiřazená systémem | Spravovaná identita přiřazená uživatelem |
---|---|---|
Vytvoření | Vytvořeno jako součást prostředku Azure (například Virtuální počítače Azure nebo služba Aplikace Azure). | Vytvořeno jako samostatný prostředek Azure. |
Životní cyklus | Sdílený životní cyklus s prostředkem Azure, se kterým je spravovaná identita vytvořená. Po odstranění nadřazeného prostředku se také odstraní spravovaná identita. |
Nezávislý životní cyklus. Je nutné explicitně odstranit. |
Sdílení napříč prostředky Azure | Nejde sdílet. Dá se přidružit jenom k jednomu prostředku Azure. |
Je možné sdílet. Stejnou spravovanou identitu přiřazenou uživatelem je možné přidružit k více prostředkům Azure. |
Běžné případy použití | Úlohy obsažené v jednom prostředku Azure Úlohy, které potřebují nezávislé identity Například aplikace, která běží na jednom virtuálním počítači. |
Úlohy, které běží na více prostředcích a můžou sdílet jednu identitu. Pracovní zátěže, které vyžadují předběžnou autorizaci k zabezpečenému zdroji v rámci procesu zřizování. Úlohy, ve kterých se prostředky recyklují často, ale oprávnění by měla zůstat konzistentní. Například úloha, ve které více virtuálních počítačů potřebuje přístup ke stejnému prostředku. |
Jak mám použít spravované identity prostředků Azure?
Spravované identity můžete použít pomocí následujících kroků:
- Vytvořte spravovanou identitu v Azure. Můžete si vybrat mezi spravovanou identitou přiřazenou systémem nebo spravovanou identitou přiřazenou uživatelem.
- Při použití spravované identity přiřazené uživatelem přiřadíte spravovanou identitu ke zdroji prostředku Azure, jako je virtuální počítač, aplikace logiky Azure nebo webová aplikace Azure.
- Autorizovat spravovanou identitu, aby měla přístup k cílové službě.
- Použijte spravovanou identitu pro přístup k prostředku. V tomto kroku můžete použít sadu Azure SDK s knihovnou Azure.Identity. Některé "zdrojové" prostředky nabízejí konektory, které vědí, jak používat spravované identity pro připojení. V takovém případě použijete identitu jako funkci tohoto "zdrojového" prostředku.
Které služby Azure tuto funkci podporují?
Spravované identity pro prostředky Azure je možné použít k ověřování ve službách, které podporují ověřování Microsoft Entra. Seznam podporovaných služeb Azure najdete ve službách, které podporují spravované identity pro prostředky Azure.
Které operace můžu provádět se spravovanými identitami?
Prostředky, které podporují spravované identity přiřazené systémem, umožňují:
- Povolte nebo zakažte spravované identity na úrovni prostředku.
- K udělení oprávnění použijte řízení přístupu na základě role (RBAC).
- Zobrazte operace vytvoření, čtení, aktualizace a odstranění (CRUD) v protokolech aktivit Azure.
- Zobrazte přihlašovací aktivitu v protokolech přihlášení k Microsoft Entra ID.
Pokud místo toho zvolíte spravovanou identitu přiřazenou uživatelem:
- Identity můžete vytvářet, číst, aktualizovat a odstraňovat .
- K udělení oprávnění můžete použít přiřazení rolí RBAC.
- Spravované identity přiřazené uživatelem je možné použít u více prostředků.
- Operace CRUD jsou k dispozici ke kontrole v protokolech aktivit Azure.
- Zobrazte přihlašovací aktivitu v protokolech přihlášení k Microsoft Entra ID.
Operace se spravovanými identitami je možné provádět pomocí šablony Azure Resource Manageru, webu Azure Portal, Azure CLI, PowerShellu a rozhraní REST API.
Další kroky
- Úvod a pokyny pro vývojáře
- Použití spravované identity přiřazené systémem virtuálního počítače pro přístup k Resource Manageru
- Jak používat spravované identity pro App Service a Azure Functions
- Použití spravovaných identit se službou Azure Container Instances
- Implementace spravovaných identit pro prostředky Microsoft Azure
- Použití federace identit úloh pro spravované identity pro přístup k prostředkům chráněným Microsoft Entra bez správy tajných kódů