Configurer des identités managées affectées par le système ou par l’utilisateur

S’APPLIQUE À : Azure Database pour PostgreSQL : serveur flexible

Dans cet article, vous apprenez à activer ou désactiver une identité managée affectée par le système sur votre instance de serveur flexible Azure Database pour PostgreSQL. Vous apprenez également à ajouter ou supprimer une ou plusieurs identités managées affectées par l’utilisateur de votre instance.

Activer l’identité managée affectée par le système sur des serveurs existants

Portail

À l’aide du Portail Azure :

1. Localisez votre serveur dans le portail, s’il n’est pas ouvert. Pour cela, tapez le nom du serveur dans la barre de recherche. Quand la ressource portant le nom correspondant est affichée, sélectionnez cette ressource.

   

2. Dans le menu Ressource, sous Sécurité, sélectionnez Identité. Puis, dans la section Identité managée affectée par le système, sélectionnez l’option Activé. Cliquez sur Enregistrer.

   

3. Une fois le processus terminé, une notification vous informe que l’identité managée affectée par le système est activée.

   

INTERFACE DE LIGNE DE COMMANDE

La commande az postgres flexible-server update n’offre pas encore de prise en charge intégrée de l’activation et de la désactivation de l’identité managée affectée par le système. Pour contourner ce problème, vous pouvez utiliser la commande az rest pour appeler directement l’API REST Serveurs - Mise à jour.

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

Désactiver l’identité managée affectée par le système sur des serveurs existants

Portail

À l’aide du Portail Azure :

1. Localisez votre serveur dans le portail, s’il n’est pas ouvert. Pour cela, tapez le nom du serveur dans la barre de recherche. Quand la ressource portant le nom correspondant est affichée, sélectionnez cette ressource.

   

2. Dans le menu Ressource, sous Sécurité, sélectionnez Identité. Puis, dans la section Identité managée affectée par le système, sélectionnez l’option Désactivé. Cliquez sur Enregistrer.

   

3. Une fois le processus terminé, une notification vous informe que l’identité managée affectée par le système est désactivée.

   

INTERFACE DE LIGNE DE COMMANDE

La commande az postgres flexible-server update n’offre pas encore de prise en charge intégrée de l’activation et de la désactivation de l’identité managée affectée par le système. Pour contourner ce problème, vous pouvez utiliser la commande az rest pour appeler directement l’API REST Serveurs - Mise à jour.

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

Afficher l’identité managée affectée par le système

Portail

À l’aide du Portail Azure :

1. Localisez votre serveur dans le portail, s’il n’est pas ouvert. Pour cela, tapez le nom du serveur dans la barre de recherche. Quand la ressource portant le nom correspondant est affichée, sélectionnez cette ressource.

   

2. Dans le menu Ressource, sous Vue d’ensemble, sélectionnez Affichage JSON.

   

3. Dans le panneau Ressource JSON qui s’ouvre, recherchez la propriété d’identité et, à l’intérieur, vous pouvez trouver le principalId et le tenantId de l’identité managée affectée par le système.

   

INTERFACE DE LIGNE DE COMMANDE

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "{principalId:principalId, tenantId:tenantId}" --output table

Vérifier l’identité managée affectée par le système

Portail

À l’aide du Portail Azure :

1. Recherchez le service Applications d’entreprise dans le portail, si vous ne l’avez pas ouvert. Pour cela, tapez son nom dans la barre de recherche. Quand le service portant le nom correspondant est affiché, sélectionnez-le.

   

2. Choisissez Type d’application == Identité managée.

3. Indiquez le nom de votre instance de serveur flexible Azure Database pour PostgreSQL dans la zone de texte Rechercher par nom d’application ou ID d’objet.

   

INTERFACE DE LIGNE DE COMMANDE

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

Associer des identités managées affectées par l’utilisateur à des serveurs existants

Cet article suppose que vous avez créé les identités managées affectées par l’utilisateur que vous souhaitez associer à une instance existante de serveur flexible Azure Database pour PostgreSQL.

Pour plus d’informations, consultez Comment gérer des identités managées affectées par l’utilisateur dans Microsoft Entra ID.

Vous pouvez associer autant d’identités managées affectées par l’utilisateur que vous le souhaitez à une instance de serveur flexible Azure Database pour PostgreSQL.

Portail

L’association d’identités managées affectées par l’utilisateur à une instance de serveur flexible Azure Database pour PostgreSQL via le portail n’est pas prise en charge.

INTERFACE DE LIGNE DE COMMANDE

Vous pouvez associer une identité affectée par l’utilisateur à une instance de serveur flexible Azure Database pour PostgreSQL via la commandeaz postgres flexible-server identity assign.

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity

Dissocier des identités managées affectées par l’utilisateur de serveurs existants

Le service prend en charge la dissociation d’identités managées affectées par l’utilisateur associées à une instance de serveur flexible Azure Database pour PostgreSQL.

Les identités managées affectées par l’utilisateur désignées comme des identités devant être utilisées pour accéder aux clés de chiffrement sont une exception à cette règle. Ce cas n’est possible que sur des serveurs déployés avec un chiffrement des données à l’aide de clés gérées par le client.

Portail

La dissociation d’identités managées affectées par l’utilisateur d’une instance de serveur flexible Azure Database pour PostgreSQL via le portail n’est pas prise en charge.

INTERFACE DE LIGNE DE COMMANDE

Vous pouvez dissocier une identité affectée par l’utilisateur d’une instance de serveur flexible Azure Database pour PostgreSQL via la commandeaz postgres flexible-server identity remove.

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity

Si vous essayez de supprimer une identité managée affectée par l’utilisateur qui est utilisée pour accéder à une clé de chiffrement de données, vous recevez l’erreur suivante :

Cannot remove identity <identity> because it's used for data encryption.

Afficher les identités managées affectées par l’utilisateur associées

Portail

À l’aide du Portail Azure :

1. Localisez votre serveur dans le portail, s’il n’est pas ouvert. Pour cela, tapez le nom du serveur dans la barre de recherche. Quand la ressource portant le nom correspondant est affichée, sélectionnez cette ressource.

   

2. Dans le menu Ressource, sous Vue d’ensemble, sélectionnez Affichage JSON.

   

3. Dans le panneau Ressource JSON qui s’ouvre, recherchez la propriété de l’identité et, à l’intérieur, vous pouvez trouver les userAssignedIdentities. Cet objet se compose d’une ou plusieurs paires clé/valeur, où chaque clé représente l’identifiant de la ressource d’une identité managée affectée par l’utilisateur. Sa valeur correspondante est constituée du principalId et du clientId associés à cette identité managée.

   

INTERFACE DE LIGNE DE COMMANDE

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"

Contenu connexe

• Identités managées dans Azure Database pour PostgreSQL - Serveur flexible.
• Règles de pare-feu dans Azure Database pour PostgreSQL - Serveur flexible.
• Accès public et points de terminaison privés dans Azure Database pour PostgreSQL - Serveur flexible.
• Intégration d’un réseau virtuel dans Azure Database pour PostgreSQL - Serveur flexible.