Verwenden von verwalteten Identitäten für Azure App Configuration
In diesem Artikel erfahren Sie, wie Sie eine verwaltete Identität für Azure App Configuration erstellen. Eine verwaltete Identität von Microsoft Entra ID ermöglicht Azure App Configuration, einfach auf andere durch Microsoft Entra geschützte Ressourcen zuzugreifen. Die Identität wird von der Azure-Plattform verwaltet. Sie müssen keine Geheimnisse bereitstellen oder rotieren. Weitere Informationen zu verwalteten Identitäten in Microsoft Entra ID finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.
Ihrer Anwendung können zwei Arten von Identitäten zugewiesen werden:
- Eine vom System zugewiesene Identität ist an Ihren Konfigurationsspeicher gebunden. Sie wird gelöscht, wenn Ihr Konfigurationsspeicher gelöscht wird. Ein Konfigurationsspeicher kann nur eine systemseitig zugewiesene Identität aufweisen.
- Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrem Konfigurationsspeicher zugewiesen werden kann. Ein Konfigurationsspeicher kann mehrere benutzerseitig zugewiesene Identitäten aufweisen.
Hinzufügen einer systemseitig zugewiesenen Identität
Für die Erstellung eines App Configuration-Speichers mit einer systemseitig zugewiesenen Identität muss eine zusätzliche Eigenschaft im Speicher festgelegt werden.
Verwenden der Azure-Befehlszeilenschnittstelle
Um eine verwaltete Identität mithilfe der Azure CLI einzurichten, wenden Sie den Befehl [az appconfig identity assign] auf einen vorhandenen Konfigurationsspeicher an. Für die Ausführung der Beispiele in diesem Abschnitt gibt es drei Optionen:
- Verwenden Sie Azure Cloud Shell über das Azure-Portal.
- Verwenden Sie die eingebettete Azure Cloud Shell über die Schaltfläche „Ausprobieren“ in der rechten oberen Ecke der unten aufgeführten Codeblöcke.
- Installieren Sie die aktuelle Version der Azure-Befehlszeilenschnittstelle (2.1 oder höher), wenn Sie lieber eine lokale CLI-Konsole verwenden möchten.
In den nachstehenden Schritten werden Sie durch das Erstellen eines App Configuration-Speichers und das Zuweisen einer Identität mithilfe der CLI geleitet:
Melden Sie sich bei Verwendung der Azure CLI in einer lokalen Konsole zunächst mit [az login] bei Azure an. Verwenden Sie ein Konto, das mit Ihrem Azure-Abonnement verknüpft ist:
az login
Erstellen Sie über die Befehlszeilenschnittstelle einen App Configuration-Speicher. Weitere Beispiele für die Verwendung der Befehlszeilenschnittstelle mit Azure App Configuration finden Sie unter CLI-Beispiele für App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Führen Sie den Befehl [az appconfig identity assign] aus, um die systemseitig zugewiesene Identität für diesen Konfigurationsspeicher zu erstellen:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Hinzufügen einer benutzerseitig zugewiesenen Identität
Für das Erstellen eines App Configuration-Speichers mit einer benutzerseitig zugewiesenen Identität müssen Sie die Identität erstellen und dann Ihrem Speicher den Ressourcenbezeichner der Identität zuweisen.
Hinweis
Sie können einem App Configuration Store bis zu 10 von einem*einer Benutzer*in zugewiesene verwaltete Identitäten hinzufügen.
Verwenden der Azure-Befehlszeilenschnittstelle
Um eine verwaltete Identität mithilfe der Azure CLI einzurichten, wenden Sie den Befehl [az appconfig identity assign] auf einen vorhandenen Konfigurationsspeicher an. Für die Ausführung der Beispiele in diesem Abschnitt gibt es drei Optionen:
- Verwenden Sie Azure Cloud Shell über das Azure-Portal.
- Verwenden Sie die eingebettete Azure Cloud Shell über die Schaltfläche „Ausprobieren“ in der rechten oberen Ecke der unten aufgeführten Codeblöcke.
- Installieren Sie die neueste Version der Azure CLI (2.0.31 oder höher), wenn Sie lieber eine lokale CLI-Konsole verwenden möchten.
Die folgenden Schritte führen Sie durch das Erstellen einer benutzerseitig zugewiesenen Identität und eines App Configuration-Speichers sowie das anschließende Zuweisen der Identität zum Speicher mithilfe der CLI:
Melden Sie sich bei Verwendung der Azure CLI in einer lokalen Konsole zunächst mit [az login] bei Azure an. Verwenden Sie ein Konto, das mit Ihrem Azure-Abonnement verknüpft ist:
az login
Erstellen Sie über die Befehlszeilenschnittstelle einen App Configuration-Speicher. Weitere Beispiele für die Verwendung der Befehlszeilenschnittstelle mit Azure App Configuration finden Sie unter CLI-Beispiele für App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Erstellen Sie mit der Befehlszeilenschnittstelle eine vom Benutzer zugewiesene Identität mit dem Namen
myUserAssignedIdentity
.az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
Beachten Sie in der Ausgabe dieses Befehls den Wert der
id
-Eigenschaft.Führen Sie den Befehl [az appconfig identity assign] aus, um diesem Konfigurationsspeicher die neue benutzerseitig zugewiesene Identität zuzuweisen. Verwenden Sie den Wert der
id
-Eigenschaft, den Sie im vorherigen Schritt notiert haben.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Entfernen einer Identität
Eine vom System zugewiesene Identität kann entfernt werden, indem das Feature mithilfe des Befehls az appconfig identity remove in der Azure-Befehlszeilenschnittstelle deaktiviert wird. Benutzerseitig zugewiesene Identitäten können einzeln entfernt werden. Wenn Sie eine vom System zugewiesene Identität auf diese Weise entfernen, wird sie auch aus Microsoft Entra ID gelöscht. Systemseitig zugewiesene Identitäten werden automatisch aus Microsoft Entra ID entfernt, wenn die App-Ressource gelöscht wird.