Identités managées dans Azure Container Apps

Une identité managée depuis Microsoft Entra ID permet à votre application conteneur d’accéder à d’autres ressources protégées par Microsoft Entra. Pour plus d’informations sur les identités managées dans Microsoft Entra ID, consultez Identités managées pour les ressources Azure.

Deux types d’identité peuvent être accordés à votre application de conteneur :

• Une identité attribuée par le système est liée à votre application de conteneur et est supprimée si votre application de conteneur est supprimée. Une application ne peut avoir qu’une seule identité attribuée par le système.
• Une identité attribuée par l’utilisateur est une ressource Azure autonome que vous pouvez affecter à votre application conteneur et à d’autres ressources. Une application de conteneur peut avoir plusieurs identités attribuées par l’utilisateur. Les identités affectées par l’utilisateur existent jusqu’à ce que vous les supprimiez.

Pourquoi utiliser une identité managée ?

Vous pouvez utiliser une identité managée dans une application de conteneur en cours d’exécution pour vous authentifier sur n’importe quel service prenant en charge l’authentification Microsoft Entra.

Avec des identités managées :

• Votre application se connecte aux ressources avec l’identité managée. Vous n’avez pas besoin de gérer les informations d’identification dans votre application de conteneur.
• Vous pouvez utiliser le contrôle d’accès en fonction du rôle pour accorder des autorisations spécifiques à une identité managée.
• Les identités attribuées par le système sont automatiquement créées et gérées. Elles sont supprimées lorsque votre application de conteneur est supprimée.
• Vous pouvez ajouter et supprimer des identités attribuées par l’utilisateur et les affecter à plusieurs ressources. Elles sont indépendantes du cycle de vie de votre application de conteneur.
• Vous pouvez utiliser l’identité managée pour vous authentifier auprès d’un Azure Container Registry privé sans nom d’utilisateur et mot de passe pour extraire des conteneurs pour votre application conteneur.
• Vous pouvez utiliser une identité managée pour créer des connexions pour les applications prenant en charge Dapr via des composants Dapr

Cas d’utilisation courants

Les identités attribuées par le système conviennent parfaitement aux charges de travail qui :

• sont contenues dans une ressource unique
• nécessitent des identités indépendantes

Les identités attribuées par l’utilisateur sont idéales pour les charges de travail qui :

• s’exécutent sur plusieurs ressources et peuvent partager une même identité
• nécessitent une pré-autorisation pour accéder à une ressource sécurisée

Limites

Les conteneurs init ne peuvent pas accéder aux identités managées dans les environnements de consommation uniquement et les environnements de profils de charge de travail dédiés.

Configurer des identités managées

Vous pouvez configurer vos identités managées via :

• le portail Azure
• Interface de ligne de commande Azure
• votre modèle Azure Resource Manager (ARM)

Lorsqu’une identité managée est ajoutée, supprimée ou modifiée sur une application de conteneur en cours d’exécution, l’application ne redémarre pas automatiquement et une nouvelle révision n’est pas créée.

Remarque

Vous devez créer une nouvelle révision lors de l’ajout d’une identité managée à une application de conteneur déployée avant le 11 avril 2022.

Ajouter une identité affectée par le système

Azure portal

1. Accédez à votre application conteneur dans le portail Azure.

2. Dans le groupe Paramètres, sélectionnez Identité.

3. Dans l’onglet Attribuée par le système, définissez État sur Activé.

4. Cliquez sur Enregistrer.

Azure CLI

Exécutez la commande az containerapp identity assign pour créer une identité affectée par le système :

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

Modèle ARM

Un modèle ARM peut être utilisé pour automatiser le déploiement de votre application de conteneur et de vos ressources. Pour ajouter une identité attribuée par le système, ajoutez une section identity à votre modèle ARM.

"identity": {
    "type": "SystemAssigned"
}

L’ajout du type attribué par le système indique à Azure de créer et de manager l’identité de votre application. Pour obtenir un exemple de modèle ARM complet, consultez Spécification de l’API ARM.

YAML

Certaines commandes Azure CLI, y compris az containerapp create et az containerapp job create, prennent en charge les fichiers YAML pour l’entrée. Pour ajouter une identité attribuée par le système, ajoutez une section identity à votre fichier YAML.

identity:
  type: SystemAssigned

L’ajout du type attribué par le système indique à Azure de créer et de manager l’identité de votre application. Pour obtenir un exemple de modèle YAML complet, consultez Spécification de l’API ARM.

Bicep

Un modèle Bicep peut être utilisé pour automatiser le déploiement de votre application de conteneur et de vos ressources. Pour ajouter une identité attribuée par le système, ajoutez une section identity à votre modèle Bicep.

identity: {
  type: 'SystemAssigned'
}

L’ajout du type attribué par le système indique à Azure de créer et de manager l’identité de votre application. Pour obtenir un exemple complet de modèle Bicep, consultez les Informations de référence sur Microsoft.App containerApps Bicep, modèle ARM et Terraform AzAPI.

Ajouter une identité attribuée par l’utilisateur

La configuration d’une application de conteneur avec une identité attribuée par l’utilisateur nécessite d’abord de créer l’identité, puis d’ajouter son identificateur de ressource à la configuration de votre application de conteneur. Vous pouvez créer des identités attribuées par l’utilisateur via le Portail Azure ou l’interface Azure CLI. Pour plus d’informations sur la création et la gestion des identités attribuées par l’utilisateur, consultez Gérer les identités managées attribuées par l’utilisateur.

Azure portal

Tout d’abord, vous devrez créer une ressource d’identité attribuée par l’utilisateur.

1. Créez une ressource d’identité managée affectée par l’utilisateur en fonction des étapes décrites dans Gérer les identités managées affectées par l’utilisateur.

2. Accédez à votre application conteneur dans le portail Azure.

3. Dans le groupe Paramètres, sélectionnez Identité.

4. Dans l’onglet Affecté(e) par l’utilisateur, sélectionnez Ajouter.

5. Recherchez et sélectionnez l’identité que vous avez créée précédemment.

6. Sélectionnez Ajouter.

Azure CLI

1. Créer uneidentité affectée par l’utilisateur.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Notez la propriété id de la nouvelle identité.

2. Exécutez la commande az containerapp identity assign pour attribuer l’identité à l’application. Le paramètre des identités est une liste séparée par un espace.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Remplacez <IDENTITY_RESOURCE_ID> par la propriété id de l’identité. Pour affecter plusieurs identités attribuées par l’utilisateur, fournissez une liste séparée par un espace des ID d’identité au paramètre --user-assigned.

Modèle ARM

Pour ajouter une ou plusieurs identités attribuées par l’utilisateur, ajoutez une section identity à votre modèle ARM. Remplacez <IDENTITY1_RESOURCE_ID> et <IDENTITY2_RESOURCE_ID> par les identificateurs de ressources des identités que vous souhaitez ajouter.

Spécifiez chaque identité attribuée par l’utilisateur en ajoutant un élément à l’objet userAssignedIdentities avec l’identificateur de ressources de l’identité comme clé. Utilisez un objet vide comme valeur.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Pour obtenir un exemple de modèle ARM complet, consultez Spécification de l’API ARM.

Remarque

Une application peut avoir simultanément une identité attribuée par le système et une identité attribuée par l’utilisateur. Dans ce cas, la valeur de la propriété type serait SystemAssigned,UserAssigned.

YAML

Pour ajouter une ou plusieurs identités affectées par l’utilisateur, ajoutez une section identity à votre fichier de configuration YAML. Remplacez <IDENTITY1_RESOURCE_ID> et <IDENTITY2_RESOURCE_ID> par les identificateurs de ressources des identités que vous souhaitez ajouter.

Spécifiez chaque identité attribuée par l’utilisateur en ajoutant un élément à l’objet userAssignedIdentities avec l’identificateur de ressources de l’identité comme clé. Utilisez un objet vide comme valeur.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Pour obtenir un exemple de modèle YAML complet, consultez Spécification de l’API ARM.

Remarque

Une application peut avoir simultanément une identité attribuée par le système et une identité attribuée par l’utilisateur. Dans ce cas, la propriété type est SystemAssigned,UserAssigned.

Bicep

Pour ajouter une ou plusieurs identités attribuées par l’utilisateur, ajoutez une section identity à votre modèle Bicep. Remplacez <IDENTITY1_RESOURCE_ID> et <IDENTITY2_RESOURCE_ID> par les identificateurs de ressources des identités que vous souhaitez ajouter.

Spécifiez chaque identité attribuée par l’utilisateur en ajoutant un élément à l’objet userAssignedIdentities avec l’identificateur de ressources de l’identité comme clé. Utilisez un objet vide comme valeur.

identity: {
  type: 'UserAssigned'
  userAssignedIdentities: {
    <IDENTITY1_RESOURCE_ID>: {}
    <IDENTITY2_RESOURCE_ID>: {}
  }
}

Pour obtenir un exemple complet de modèle Bicep, consultez les Informations de référence sur Microsoft.App containerApps Bicep, modèle ARM et Terraform AzAPI.

Remarque

Une application peut avoir simultanément une identité attribuée par le système et une identité attribuée par l’utilisateur. Dans ce cas, la propriété type est SystemAssigned,UserAssigned.

Configurer une ressource cible

Pour certaines ressources, vous devez configurer les attributions de rôles pour l’identité managée de votre application afin d’en accorder l’accès. Dans le cas contraire, les appels de votre application vers des services, tels qu’Azure Key Vault et Azure SQL Database, sont rejetés même lorsque vous utilisez un jeton valide pour cette identité. Pour plus d’informations sur le contrôle d’accès en fonction du rôle Azure (Azure RBAC), consultez Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC) ?. Pour en savoir plus sur les ressources qui prennent en charge les jetons Microsoft Entra, consultez Services Azure prenant en charge l’authentification Microsoft Entra.

Important

Les services principaux pour les identités gérées conservent un cache par URI de ressource pendant environ 24 heures. Si vous mettez à jour la stratégie d’accès d’une ressource cible particulière et que vous récupérez immédiatement un jeton pour cette ressource, vous pouvez continuer à obtenir un jeton mis en cache avec des autorisations obsolètes jusqu’à ce que ce jeton expire. L’actualisation d’un jeton de manière forcée n’est pas prise en charge.

Connexion aux services Azure dans le code de l’application

Grâce aux identités managées, une application peut obtenir des jetons pour accéder aux ressources Azure qui utilisent Microsoft Entra ID, telles qu’Azure SQL Database, Azure Key Vault et Stockage Azure. Ces jetons représentent l’application qui accède à la ressource, pas un utilisateur spécifique de l’application.

Container Apps fournit un point de terminaison REST accessible en interne pour récupérer des jetons. Le point de terminaison REST est disponible à partir de l’application avec une requête HTTP standard GET, que vous pouvez envoyer avec un client HTTP générique dans votre langue préférée. Pour les langages .NET, JavaScript, Java et Python, la bibliothèque de client Azure Identity fournit une abstraction sur ce point de terminaison REST. Vous pouvez vous connecter à d’autres services Azure en ajoutant un objet d’informations d’identification au client spécifique au service.

Remarque

Lorsque vous utilisez la bibliothèque de client Azure Identity, vous devez spécifier explicitement l’ID de client de l’identité managée affectée par l’utilisateur.

.NET

Remarque

Lorsque vous vous connectez à des sources de données Azure SQL avec Entity Framework Core, pensez à utiliser Microsoft.Data.SqlClient, qui fournit des chaînes de connexion spéciales pour la connectivité de l’identité managée.

Pour les applications .NET, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour .NET. Pour plus d'informations, consultez les ressources suivantes :

• Ajouter la bibliothèque de client Azure Identity à votre projet
• Accéder au service Azure avec une identité affectée par le système
• Accéder au service Azure avec une identité affectée par l’utilisateur

Les exemples liés utilisent DefaultAzureCredential. Cet objet est efficace dans la plupart des scénarios, car le même modèle fonctionne dans Azure (avec des identités managées) et sur votre ordinateur local (sans identités managées).

JavaScript

Pour les applications Node.js, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour JavaScript. Pour plus d'informations, consultez les ressources suivantes :

• Ajouter la bibliothèque de client Azure Identity à votre projet
• Accéder au service Azure avec une identité affectée par le système
• Accéder au service Azure avec une identité affectée par l’utilisateur

Les exemples liés utilisent DefaultAzureCredential. Cet objet est efficace dans la plupart des scénarios, car le même modèle fonctionne dans Azure (avec des identités managées) et sur votre ordinateur local (sans identités managées).

Pour obtenir plus d’exemples de code de la bibliothèque de client Azure Identity pour JavaScript, consultez Exemples Azure Identity.

Python

Pour les applications Python, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour Python. Pour plus d'informations, consultez les ressources suivantes :

• Ajouter la bibliothèque de client Azure Identity à votre projet
• Accéder au service Azure avec une identité affectée par le système
• Accéder au service Azure avec une identité affectée par l’utilisateur

Les exemples liés utilisent DefaultAzureCredential. Cet objet est efficace dans la plupart des scénarios, car le même modèle fonctionne dans Azure (avec des identités managées) et sur votre ordinateur local (sans identités managées).

Java

Pour les fonctions et applications Java, la façon la plus simple d’utiliser une identité managée consiste à recourir à la bibliothèque de client Azure Identity pour Java. Pour plus d'informations, consultez les ressources suivantes :

• Ajouter la bibliothèque de client Azure Identity à votre projet
• Accéder au service Azure avec une identité affectée par le système
• Accéder au service Azure avec une identité affectée par l’utilisateur

Les exemples liés utilisent DefaultAzureCredential. Cet objet est efficace dans la plupart des scénarios, car le même modèle fonctionne dans Azure (avec des identités managées) et sur votre ordinateur local (sans identités managées).

Pour obtenir plus d’exemples de code de la bibliothèque de client Azure Identity pour Java, consultez Exemples Azure Identity.

PowerShell

Utilisez le script suivant pour récupérer un jeton à partir du point de terminaison local en spécifiant un URI de ressource d’un service Azure. Remplacez l’espace réservé par l’URI de ressource pour obtenir le jeton.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Une requête HTTP GET brute ressemble à l’exemple suivant.

Obtenez l’URL du point de terminaison de jeton à partir de la variable d’environnement IDENTITY_ENDPOINT. x-identity-header contient le GUID stocké dans la variable d’environnement IDENTITY_HEADER.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Une réponse peut se présenter comme l’exemple suivant :

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Cette réponse est la même que la réponse pour la demande de jeton d’accès de service à service de Microsoft Entra. Pour accéder à Key Vault, ajoutez la valeur de access_token à une connexion cliente avec le coffre.

Référence du point de terminaison REST

Une application de conteneur avec une identité managée expose le point de terminaison d’identité en définissant deux variables d’environnement :

• IDENTITY_ENDPOINT : URL locale à partir de laquelle votre application de conteneur peut demander des jetons.
• IDENTITY_HEADER : en-tête utilisé afin de limiter les attaques de falsification de requêtes côté serveur (SSRF). La plateforme effectue la rotation de la valeur.

Pour obtenir un jeton pour une ressource, effectuez une requête HTTP GET à destination du point de terminaison, en indiquant notamment les paramètres suivants :

Nom du paramètre	Dans	Description
resource	Requête	URI de ressource Microsoft Entra de la ressource pour laquelle un jeton doit être obtenu. La ressource peut être l’un des services Azure qui prennent en charge l’authentification Microsoft Entra ou toute autre URI de ressource.
api-version	Requête	Version de l’API de jeton à utiliser. Utilisez « 2019-08-01 » ou une version ultérieure.
X-IDENTITY-HEADER	En-tête	Valeur de la variable d’environnement IDENTITY_HEADER. Cet en-tête permet de limiter les attaques de falsification de requêtes côté serveur (SSRF).
client_id	Requête	(Facultatif) ID de client de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisé sur une requête qui inclut principal_id, mi_res_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et mi_res_id) sont omis, l’identité affectée par le système est utilisée.
principal_id	Requête	(Facultatif) ID de principal de service de l’identité affectée par l’utilisateur qui doit être utilisée. object_id est un alias qui peut être utilisé à la place. Ne peut pas être utilisé sur une requête qui inclut client_id, mi_res_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et mi_res_id) sont omis, l’identité affectée par le système est utilisée.
mi_res_id	Requête	(Facultatif) L’ID de ressource Azure de l’identité affectée par l’utilisateur qui doit être utilisée. Ne peut pas être utilisé sur une requête qui inclut principal_id, client_id ou object_id. Si tous les paramètres d’ID (client_id, principal_id,object_id et mi_res_id) sont omis, l’identité affectée par le système est utilisée.

Important

Si vous tentez d’obtenir des jetons pour des identités affectées par l’utilisateur, vous devez inclure une des propriétés facultatives. Sinon, le service de jetons essaie d’obtenir un jeton pour une identité attribuée par le système, laquelle peut exister ou non.

Utiliser l’identité managée pour les règles de mise à l’échelle

Vous pouvez utiliser des identités managées dans vos règles de mise à l’échelle pour vous authentifier auprès des services Azure qui prennent en charge les identités managées. Pour utiliser une identité managée dans votre règle de mise à l’échelle, utilisez la propriété identity au lieu de la propriété auth dans votre règle de mise à l’échelle. Les valeurs acceptables pour la propriété identity sont soit l’ID de ressource Azure d’une identité affectée par l’utilisateur, soit system pour utiliser une identité affectée par le système.

Remarque

L’authentification par identité managée dans les règles de mise à l’échelle est en préversion publique. Elle est disponible dans la version d’API 2024-02-02-preview.

L’exemple de modèle ARM suivant montre comment utiliser une identité managée avec une règle de mise à l’échelle Stockage File d’attente Azure :

Le compte Stockage File d’attente utilise la propriété accountName pour identifier le compte de stockage, tandis que la propriété identity spécifie l’identité managée à utiliser. Vous n’avez pas besoin d’utiliser la propriété auth.

"scale": {
    "minReplicas": 1,
    "maxReplicas": 10,
    "rules": [{
        "name": "myQueueRule",
        "azureQueue": {
            "accountName": "mystorageaccount",
            "queueName": "myqueue",
            "queueLength": 2,
            "identity": "<IDENTITY1_RESOURCE_ID>"
        }
    }]
}

Pour en savoir plus sur l’utilisation d’identités managées avec des règles de mise à l’échelle, consultez Définir des règles de mise à l’échelle dans Azure Container Apps.

Contrôler la disponibilité des identités managées

Container Apps vous permet de spécifier des conteneurs init et des conteneurs principaux. Par défaut, les conteneurs principaux et init dans un environnement de profils de charge de travail de consommation peuvent tous les deux utiliser une identité managée pour accéder à d’autres services Azure. Dans les environnements de consommation uniquement et les environnements de profils de charge de travail dédiés, seuls les conteneurs principaux peuvent utiliser les identités managées. Les jetons d’accès aux identités managées sont disponibles pour chaque identité managée configurée sur l’application conteneur. Toutefois, dans certaines situations, seul le conteneur init ou le conteneur principal nécessite des jetons d’accès pour une identité managée. D’autres fois, vous pouvez utiliser une identité managée uniquement pour accéder à votre instance Azure Container Registry afin d’extraire l’image conteneur, et votre application n’a pas besoin d’avoir accès à votre instance Azure Container Registry.

À partir de l’API version 2024-02-02-preview, vous pouvez contrôler les identités managées à disposition de votre application conteneur pendant les phases init et main pour suivre le principe de sécurité des privilèges minimum. Les options suivantes sont disponibles :

• Init : disponible uniquement pour les conteneurs init. Utilisez cette option lorsque vous souhaitez effectuer un travail d’initialisation nécessitant une identité managée, mais que vous n’avez plus besoin de l’identité managée dans le conteneur principal. Cette option n’est actuellement prise en charge que dans les environnements de consommation de profils de charge de travail
• Main : disponible uniquement pour les conteneurs principaux. Utilisez cette option si votre conteneur init n’a pas besoin d’une identité managée.
• All : disponible pour tous les conteneurs. Cette valeur est le paramétrage par défaut.
• None : non disponible pour n’importe quel conteneur. Utilisez cette option lorsque vous disposez d’une identité managée qui est uniquement utilisée pour l’extraction d’images ACR, les règles de mise à l’échelle ou les secrets Key Vault et qui n’a pas besoin d’être accessible au code exécuté dans vos conteneurs.

L’exemple de modèle ARM suivant montre comment configurer une application conteneur sur un environnement de consommation de profils de charge de travail qui :

• Restreint l’identité affectée par le système de l’application conteneur aux conteneurs principaux uniquement.
• Restreint une identité affectée par l’utilisateur spécifique aux conteneurs init uniquement.
• Utilise une identité affectée par l’utilisateur spécifique pour l’extraction d’images Azure Container Registry sans autoriser le code dans les conteneurs à utiliser cette identité managée pour accéder au registre. Dans cet exemple, les conteneurs eux-mêmes n’ont pas besoin d’accéder au registre.

Cette approche limite les ressources accessibles au cas où un acteur malveillant obtiendrait un accès non autorisé aux conteneurs.

{
    "location": "eastus2",
    "identity":{
    "type": "SystemAssigned, UserAssigned",
        "userAssignedIdentities": {
            "<IDENTITY1_RESOURCE_ID>":{},
            "<ACR_IMAGEPULL_IDENTITY_RESOURCE_ID>":{}
         }
     },
    "properties": {
        "workloadProfileName":"Consumption",
        "environmentId": "<CONTAINER_APPS_ENVIRONMENT_ID>",
        "configuration": {
            "registries": [
            {
                "server": "myregistry.azurecr.io",
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID"
            }],
            "identitySettings":[
            {
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID",
                "lifecycle": "None"
            },
            {
                "identity": "<IDENTITY1_RESOURCE_ID>",
                "lifecycle": "Init"
            },
            {
                "identity": "system",
                "lifecycle": "Main"
            }]
        },
        "template": {
            "containers":[
                {
                    "image":"myregistry.azurecr.io/main:1.0",
                    "name":"app-main"
                }
            ],
            "initContainers":[
                {
                    "image":"myregistry.azurecr.io/init:1.0",
                    "name":"app-init",
                }
            ]
        }
    }
}

Afficher les identités managées

Vous pouvez afficher les identités managées attribuées par le système et attribuées par l’utilisateur à l’aide de la commande Azure CLI suivante. La sortie affiche le type d’identité managée, les ID de locataire et les ID principaux de toutes les identités managées affectées à votre application de conteneur.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Supprimer une identité managée

Lorsque vous supprimez une identité affectée par le système, elle est supprimée de Microsoft Entra ID. Les identités affectées par le système sont également automatiquement supprimées de Microsoft Entra ID lorsque vous supprimez la ressource d’application de conteneur elle-même. La suppression des identités managées attribuées par l’utilisateur de votre application de conteneur ne les supprime pas de Microsoft Entra ID.

Azure portal

1. Dans le volet de navigation gauche de la page de votre application, faites défiler la page vers le bas jusqu’au groupe Paramètres.

2. Sélectionnez Identité. Suivez ensuite les étapes en fonction du type d’identité :

   • Identité affectée par le système : Dans l’onglet Affectée par le système, basculez État sur Désactivé. Cliquez sur Enregistrer.
   • Identité affectée par l’utilisateur : Sélectionnez l’onglet Affectée par l’utilisateur, cochez la case de l’identité, puis sélectionnez Supprimer. Sélectionnez Oui pour confirmer.

Azure CLI

Pour supprimer l’identité affectée par le système :

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Pour supprimer une ou plusieurs identités affectées par l’utilisateur :

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Pour supprimer toutes les identités attribuées par l’utilisateur :

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Modèle ARM

Pour supprimer toutes les identités, définissez le type de l’identité de l’application de conteneur sur None dans le modèle ARM :

"identity": {
    "type": "None"
}

YAML

Pour supprimer toutes les identités, définissez le type de l’identité de l’application de conteneur sur None dans le fichier de configuration YAML :

identity:
    type: None

Bicep

Pour supprimer toutes les identités, définissez le type de l’identité de l’application de conteneur sur None dans le modèle Bicep :

identity: {
  type: 'None'
}

Étapes suivantes

Surveiller une application