Jak používat spravované identity pro konfiguraci Aplikace Azure

V tomto článku se dozvíte, jak vytvořit spravovanou identitu pro Aplikace Azure Configuration. Spravovaná identita z Microsoft Entra ID umožňuje Aplikace Azure Configuration snadno přistupovat k dalším prostředkům chráněným Microsoft Entra. Identitu spravuje platforma Azure. Nevyžaduje zřízení ani obměně tajných kódů. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.

Vaší aplikaci je možné udělit dva typy identit:

• Identita přiřazená systémem je svázaná s úložištěm konfigurace. Pokud dojde k odstranění úložiště konfigurace, odstraní se. Úložiště konfigurace může mít pouze jednu identitu přiřazenou systémem.
• Identita přiřazená uživatelem je samostatný prostředek Azure, který se dá přiřadit k úložišti konfigurace. Úložiště konfigurace může mít více identit přiřazených uživatelem.

Přidání identity přiřazené systémem

Vytvoření úložiště App Configuration s identitou přiřazenou systémem vyžaduje, aby byla v úložišti nastavena další vlastnost.

Použití Azure CLI

Pokud chcete nastavit spravovanou identitu pomocí Azure CLI, použijte příkaz [az appconfig identity assign] pro existující úložiště konfigurace. Pro spuštění příkladů v této části máte tři možnosti:

• Použijte Azure Cloud Shell z webu Azure Portal.
• Pomocí vloženého azure Cloud Shellu použijte tlačítko Vyzkoušet, které se nachází v pravém horním rohu každého bloku kódu níže.
• Pokud chcete použít místní konzolu rozhraní příkazového řádku, nainstalujte nejnovější verzi Azure CLI (2.1 nebo novější).

Následující kroky vás provedou vytvořením úložiště app Configuration a jeho přiřazením identity pomocí rozhraní příkazového řádku:

1. Pokud používáte Azure CLI v místní konzole, nejprve se přihlaste k Azure pomocí příkazu [az login]. Použijte účet přidružený k vašemu předplatnému Azure:

   az login
   

2. Pomocí rozhraní příkazového řádku vytvořte obchod App Configuration Store. Další příklady použití rozhraní příkazového řádku s konfigurací Aplikace Azure najdete v ukázkách rozhraní příkazového řádku konfigurace aplikace:

   az group create --name myResourceGroup --location eastus
   az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
   

3. Spuštěním příkazu [az appconfig identity assign] vytvořte identitu přiřazenou systémem pro toto úložiště konfigurace:

   az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
   

Přidání identity přiřazené uživatelem

Vytvoření úložiště App Configuration s identitou přiřazenou uživatelem vyžaduje, abyste identitu vytvořili a pak k úložišti přiřadili jeho identifikátor prostředku.

Poznámka:

Do obchodu App Configuration store můžete přidat až 10 spravovaných identit přiřazených uživatelem.

Použití Azure CLI

Pokud chcete nastavit spravovanou identitu pomocí Azure CLI, použijte příkaz [az appconfig identity assign] pro existující úložiště konfigurace. Pro spuštění příkladů v této části máte tři možnosti:

• Použijte Azure Cloud Shell z webu Azure Portal.
• Pomocí vloženého azure Cloud Shellu použijte tlačítko Vyzkoušet, které se nachází v pravém horním rohu každého bloku kódu níže.
• Pokud chcete použít místní konzolu rozhraní příkazového řádku, nainstalujte nejnovější verzi Azure CLI (2.0.31 nebo novější).

Následující kroky vás provedou vytvořením identity přiřazené uživatelem a úložištěm konfigurace aplikací a následným přiřazením identity k úložišti pomocí rozhraní příkazového řádku:

1. Pokud používáte Azure CLI v místní konzole, nejprve se přihlaste k Azure pomocí příkazu [az login]. Použijte účet přidružený k vašemu předplatnému Azure:

   az login
   

2. Pomocí rozhraní příkazového řádku vytvořte obchod App Configuration Store. Další příklady použití rozhraní příkazového řádku s konfigurací Aplikace Azure najdete v ukázkách rozhraní příkazového řádku konfigurace aplikace:

   az group create --name myResourceGroup --location eastus
   az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
   

3. Pomocí rozhraní příkazového řádku vytvořte identitu myUserAssignedIdentity přiřazenou uživatelem.

   az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
   

   Ve výstupu tohoto příkazu si poznamenejte hodnotu id vlastnosti.

4. Spuštěním příkazu [az appconfig identity assign] přiřaďte novou identitu přiřazenou uživatelem k tomuto úložišti konfigurace. Použijte hodnotu id vlastnosti, kterou jste si poznamenali v předchozím kroku.

   az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
   

Odebrání identity

Identitu přiřazenou systémem je možné odebrat zakázáním funkce pomocí příkazu az appconfig identity remove v Azure CLI. Identity přiřazené uživatelem je možné odebrat jednotlivě. Odebráním identity přiřazené systémem tímto způsobem se odstraní také z ID Microsoft Entra. Identity přiřazené systémem se také automaticky odeberou z ID Microsoft Entra při odstranění prostředku aplikace.

Další kroky

Vytvoření aplikace ASP.NET Core s konfigurací Aplikace Azure