Identità gestite nelle App contenitore di Azure

Un'identità gestita da Microsoft Entra ID consente all'app contenitore di accedere ad altre risorse protette di Microsoft Entra. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.

All'app contenitore possono essere concessi due tipi di identità:

• Un'identità assegnata dal sistema è associata all'app contenitore e viene eliminata quando l'app contenitore viene eliminata. A un'app può essere associata una sola identità assegnata dal sistema.
• Un'identità assegnata dall'utente è una risorsa di Azure autonoma che è possibile assegnare all'app contenitore e ad altre risorse. Un'app contenitore può avere più identità assegnate dall'utente. Le identità assegnate dall'utente esistono fino a quando non vengono eliminate.

Perché usare un'identità gestita?

È possibile usare un'identità gestita in un'app contenitore in esecuzione per eseguire l'autenticazione a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra.

Con le identità gestite:

• L'app si connette alle risorse con l'identità gestita. Non è necessario gestire le credenziali nell'app contenitore.
• È possibile usare il controllo degli accessi in base al ruolo per concedere autorizzazioni specifiche a un'identità gestita.
• Le identità assegnate dal sistema vengono create e gestite automaticamente. Vengono eliminati quando l'app contenitore viene eliminata.
• È possibile aggiungere ed eliminare identità assegnate dall'utente e assegnarle a più risorse. Sono indipendenti dal ciclo di vita dell'app contenitore.
• È possibile usare l'identità gestita per eseguire l'autenticazione con un Registro Azure Container privato senza nome utente e password per eseguire il pull dei contenitori per l'app contenitore.
• È possibile usare un'identità gestita per creare connessioni per le applicazioni abilitate per Dapr tramite i componenti dapr

Casi d'uso comuni

Le identità assegnate dal sistema sono ideali per i carichi di lavoro che:

• sono contenuti all'interno di una singola risorsa
• necessitano di identità indipendenti

Le identità assegnate dall'utente sono ideali per i carichi di lavoro che:

• eseguire su più risorse e condividere una singola identità
• è necessaria la pre-autorizzazione per una risorsa sicura

Limiti

I contenitori Init non possono accedere alle identità gestite negli ambienti di sola utilizzo e negli ambienti del profilo del carico di lavoro dedicati

Configurare le identità gestite

È possibile configurare le identità gestite tramite:

• Portale di Azure
• l'interfaccia della riga di comando di Azure
• modello di Azure Resource Manager (ARM)

Quando viene aggiunta, eliminata o modificata un'identità gestita in un'app contenitore in esecuzione, l'app non viene riavviata automaticamente e non viene creata una nuova revisione.

Nota

Quando si aggiunge un'identità gestita a un'app contenitore distribuita prima del 11 aprile 2022, è necessario creare una nuova revisione.

Aggiungere un'identità assegnata dal sistema

Azure portal

1. Passare all'app contenitore nel portale di Azure.

2. Nel gruppo Impostazioni selezionare Identità.

3. All'interno della scheda Assegnata dal sistema impostare Stato su Attivato.

4. Seleziona Salva.

Interfaccia della riga di comando di Azure

Eseguire il comando az containerapp identity assign per creare un'identità assegnata dal sistema:

az containerapp identity assign --name myApp --resource-group myResourceGroup --system-assigned

Modello ARM

È possibile usare un modello di Resource Manager per automatizzare la distribuzione dell'app e delle risorse del contenitore. Per aggiungere un'identità assegnata dal sistema, aggiungere una identity sezione al modello di Resource Manager.

"identity": {
    "type": "SystemAssigned"
}

L'aggiunta del tipo assegnato dal sistema indica ad Azure di creare e gestire l'identità per l'applicazione. Per un esempio di modello arm completo, vedere Specifica DELL'API ARM.

YAML

Alcuni comandi dell'interfaccia della riga di comando di Azure, inclusi az containerapp create e az containerapp job create, supportano i file YAML per l'input. Per aggiungere un'identità assegnata dal sistema, aggiungere una identity sezione al file YAML.

identity:
  type: SystemAssigned

L'aggiunta del tipo assegnato dal sistema indica ad Azure di creare e gestire l'identità per l'applicazione. Per un esempio di modello YAML completo, vedere Specifica DELL'API ARM.

Bicep

Un modello Bicep può essere usato per automatizzare la distribuzione dell'app e delle risorse del contenitore. Per aggiungere un'identità assegnata dal sistema, aggiungere una identity sezione al modello Bicep.

identity: {
  type: 'SystemAssigned'
}

L'aggiunta del tipo assegnato dal sistema indica ad Azure di creare e gestire l'identità per l'applicazione. Per un esempio completo di modello Bicep, vedere Microsoft.App containerApps Bicep, arm template & Terraform AzAPI reference (Informazioni di riferimento su azure Bicep, modello di Resource Manager e AzAPI).

Aggiungere un'identità assegnata dall'utente

La configurazione di un'app contenitore con un'identità assegnata dall'utente richiede prima di tutto di creare l'identità e quindi aggiungerne l'identificatore alla configurazione dell'app contenitore. È possibile creare identità assegnate dall'utente tramite il portale di Azure o l'interfaccia della riga di comando di Azure. Per informazioni sulla creazione e la gestione delle identità assegnate dall'utente, vedere Gestire le identità gestite assegnate dall'utente.

Azure portal

Sarà prima di tutto necessario creare una risorsa identità assegnata dall'utente.

1. Creare una risorsa di identità gestita assegnata dall'utente in base alla procedura descritta in Gestire le identità gestite assegnate dall'utente.

2. Passare all'app contenitore nel portale di Azure.

3. Nel gruppo Impostazioni selezionare Identità.

4. Nella scheda Assegnata dall'utente selezionare Aggiungi.

5. Cercare e selezionare l'identità creata in precedenza.

6. Selezionare Aggiungi.

Interfaccia della riga di comando di Azure

1. Creare un'identità assegnata dall'utente.

   az identity create --resource-group <GROUP_NAME> --name <IDENTITY_NAME> --output json
   

   Si noti la id proprietà della nuova identità.

2. Eseguire il comando az containerapp identity assign per assegnare l'identità all'app. Il parametro identities è un elenco separato da spazi.

   az containerapp identity assign --resource-group <GROUP_NAME> --name <APP_NAME> \
       --user-assigned <IDENTITY_RESOURCE_ID>
   

   Sostituire <IDENTITY_RESOURCE_ID> con la id proprietà dell'identità. Per assegnare più identità assegnate dall'utente, specificare un elenco separato da spazi di ID identità al --user-assigned parametro .

Modello ARM

Per aggiungere una o più identità assegnate dall'utente, aggiungere una identity sezione al modello di Resource Manager. Sostituire <IDENTITY1_RESOURCE_ID> e <IDENTITY2_RESOURCE_ID> con gli identificatori di risorsa delle identità da aggiungere.

Specificare ogni identità assegnata dall'utente aggiungendo un elemento all'oggetto userAssignedIdentities con l'identificatore di risorsa dell'identità come chiave. Usare un oggetto vuoto come valore.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<IDENTITY1_RESOURCE_ID>": {},
        "<IDENTITY2_RESOURCE_ID>": {}
    }
}

Per un esempio di modello arm completo, vedere Specifica DELL'API ARM.

Nota

Un'applicazione può avere contemporaneamente sia identità assegnate dal sistema che assegnate dall'utente. In questo caso, il valore della type proprietà sarà SystemAssigned,UserAssigned.

YAML

Per aggiungere una o più identità assegnate dall'utente, aggiungere una identity sezione al file di configurazione YAML. Sostituire <IDENTITY1_RESOURCE_ID> e <IDENTITY2_RESOURCE_ID> con gli identificatori di risorsa delle identità da aggiungere.

Specificare ogni identità assegnata dall'utente aggiungendo un elemento all'oggetto userAssignedIdentities con l'identificatore di risorsa dell'identità come chiave. Usare un oggetto vuoto come valore.

identity:
    type: UserAssigned
    userAssignedIdentities:
        <IDENTITY1_RESOURCE_ID>: {}
        <IDENTITY2_RESOURCE_ID>: {}

Per un esempio di modello YAML completo, vedere Specifica DELL'API ARM.

Nota

Un'applicazione può avere contemporaneamente sia identità assegnate dal sistema che assegnate dall'utente. In questo caso, la proprietà type sarebbe SystemAssigned,UserAssigned.

Bicep

Per aggiungere una o più identità assegnate dall'utente, aggiungere una identity sezione al modello Bicep. Sostituire <IDENTITY1_RESOURCE_ID> e <IDENTITY2_RESOURCE_ID> con gli identificatori di risorsa delle identità da aggiungere.

Specificare ogni identità assegnata dall'utente aggiungendo un elemento all'oggetto userAssignedIdentities con l'identificatore di risorsa dell'identità come chiave. Usare un oggetto vuoto come valore.

identity: {
  type: 'UserAssigned'
  userAssignedIdentities: {
    <IDENTITY1_RESOURCE_ID>: {}
    <IDENTITY2_RESOURCE_ID>: {}
  }
}

Per un esempio completo di modello Bicep, vedere Microsoft.App containerApps Bicep, arm template & Terraform AzAPI reference (Informazioni di riferimento su azure Bicep, modello di Resource Manager e AzAPI).

Nota

Un'applicazione può avere contemporaneamente sia identità assegnate dal sistema che assegnate dall'utente. In questo caso, la proprietà type sarebbe SystemAssigned,UserAssigned.

Configurare una risorsa di destinazione

Per alcune risorse, è necessario configurare le assegnazioni di ruolo per l'identità gestita dell'app per concedere l'accesso. In caso contrario, le chiamate dall'app ai servizi, ad esempio Azure Key Vault e database SQL di Azure, vengono rifiutate anche quando si usa un token valido per tale identità. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Informazioni sul controllo degli accessi in base al ruolo. Per altre informazioni sulle risorse che supportano i token di Microsoft Entra, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra.

Importante

I servizi back-end per le identità gestite conservano una cache per ogni URI di risorsa per circa 24 ore. Se si aggiornano i criteri di accesso di una determinata risorsa di destinazione e si recupera immediatamente un token per tale risorsa, è possibile ottenere un token memorizzato nella cache con autorizzazioni obsolete fino alla scadenza del token. L'uso forzato di un aggiornamento del token non è supportato.

Connettersi ai servizi di Azure nel codice dell'app

Con le identità gestite, un'app può ottenere token per accedere alle risorse di Azure che usano l'ID Microsoft Entra, ad esempio database SQL di Azure, Azure Key Vault e Archiviazione di Azure. Questi token rappresentano le applicazioni che accedono alla risorsa e non un utente specifico dell'applicazione.

App contenitore fornisce un endpoint REST accessibile internamente per recuperare i token. L'endpoint REST è disponibile dall'interno dell'app con una richiesta HTTP GET standard, che è possibile inviare con un client HTTP generico nella lingua preferita. Per .NET, JavaScript, Java e Python, la libreria client di Identità di Azure fornisce un'astrazione su questo endpoint REST. È possibile connettersi ad altri servizi di Azure aggiungendo un oggetto credenziale al client specifico del servizio.

Nota

Quando si usa la libreria client di Identità di Azure, è necessario specificare in modo esplicito l'ID client dell'identità gestita assegnata dall'utente.

.NET

Nota

Quando ci si connette alle origini dati di Azure SQL con Entity Framework Core, prendere in considerazione l'uso di Microsoft.Data.SqlClient, che fornisce stringhe di connessione speciali per la connettività delle identità gestite.

Per le app .NET, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per .NET. Per altre informazioni, vedere le risorse seguenti:

• Aggiungere la libreria client Azure Identity al progetto
• Accedere al servizio di Azure con un'identità assegnata dal sistema
• Accedere al servizio di Azure con un'identità assegnata dall'utente

Gli esempi collegati usano DefaultAzureCredential. Questo oggetto è efficace nella maggior parte degli scenari come lo stesso modello funziona in Azure (con identità gestite) e nel computer locale (senza identità gestite).

JavaScript

Per Node.js app, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per JavaScript. Per altre informazioni, vedere le risorse seguenti:

• Aggiungere la libreria client Azure Identity al progetto
• Accedere al servizio di Azure con un'identità assegnata dal sistema
• Accedere al servizio di Azure con un'identità assegnata dall'utente

Gli esempi collegati usano DefaultAzureCredential. Questo oggetto è efficace nella maggior parte degli scenari come lo stesso modello funziona in Azure (con identità gestite) e nel computer locale (senza identità gestite).

Per altri esempi di codice della libreria client Azure Identity per JavaScript, vedere gli esempi di Azure Identity.

Python

Per le app Python, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client di Identità di Azure per Python. Per altre informazioni, vedere le risorse seguenti:

• Aggiungere la libreria client Azure Identity al progetto
• Accedere al servizio di Azure con un'identità assegnata dal sistema
• Accedere al servizio di Azure con un'identità assegnata dall'utente

Gli esempi collegati usano DefaultAzureCredential. Questo oggetto è efficace nella maggior parte degli scenari come lo stesso modello funziona in Azure (con identità gestite) e nel computer locale (senza identità gestite).

Java

Per le app e le funzioni Java, il modo più semplice per usare un'identità gestita consiste nell'usare la libreria client Azure Identity per Java. Per altre informazioni, vedere le risorse seguenti:

• Aggiungere la libreria client Azure Identity al progetto
• Accedere al servizio di Azure con un'identità assegnata dal sistema
• Accedere al servizio di Azure con un'identità assegnata dall'utente

Gli esempi collegati usano DefaultAzureCredential. Questo oggetto è efficace nella maggior parte degli scenari come lo stesso modello funziona in Azure (con identità gestite) e nel computer locale (senza identità gestite).

Per altri esempi di codice della libreria client Azure Identity per Java, vedere gli esempi di Azure Identity.

PowerShell

Usare lo script seguente per recuperare un token dall'endpoint locale specificando un URI di risorsa di un servizio di Azure. Sostituire il segnaposto con l'URI della risorsa per ottenere il token.

$resourceURI = "https://<AAD-resource-URI>"
$tokenAuthURI = $env:IDENTITY_ENDPOINT + "?resource=$resourceURI&api-version=2019-08-01"
$tokenResponse = Invoke-RestMethod -Method Get -Headers @{"X-IDENTITY-HEADER"="$env:IDENTITY_HEADER"} -Uri $tokenAuthURI
$accessToken = $tokenResponse.access_token

HTTP GET

Una richiesta HTTP GET non elaborata è simile all'esempio seguente.

Ottenere l'URL dell'endpoint del token dalla IDENTITY_ENDPOINT variabile di ambiente. x-identity-header contiene il GUID archiviato nella IDENTITY_HEADER variabile di ambiente.

GET http://localhost:42356/msi/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
x-identity-header: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

Una risposta potrebbe essere simile all'esempio seguente:

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
}

Questa risposta è uguale alla risposta per la richiesta del token di accesso da servizio a servizio di Microsoft Entra. Per accedere a Key Vault, aggiungere il valore di access_token a una connessione client con l'insieme di credenziali.

Riferimento all'endpoint REST

Un'app contenitore con un'identità gestita espone l'endpoint di identità definendo due variabili di ambiente:

• IDENTITY_ENDPOINT: URL locale da cui l'app contenitore può richiedere token.
• IDENTITY_HEADER: intestazione usata per attenuare gli attacchi di richiesta sul lato server (SSRF). Il valore viene ruotato dalla piattaforma.

Per ottenere un token per una risorsa, effettuare una richiesta HTTP GET all'endpoint, inclusi i parametri seguenti:

Nome parametro	In	Descrizione
resource	Query	URI della risorsa di Microsoft Entra per cui è necessario ottenere un token. La risorsa può essere uno dei servizi di Azure che supportano l'autenticazione di Microsoft Entra o qualsiasi altro URI di risorsa.
api-version	Query	Versione dell'API del token da usare. Usare "2019-08-01" o versione successiva.
X-IDENTITY-HEADER	Intestazione	Valore della IDENTITY_HEADER variabile di ambiente. Questa intestazione attenua gli attacchi di richiesta sul lato server (SSRF).
client_id	Query	(Facoltativo) ID client dell'identità assegnata dall'utente da usare. Non è possibile usare in una richiesta che include principal_id, mi_res_ido object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.
principal_id	Query	(Facoltativo) ID entità di sicurezza dell'identità assegnata dall'utente da usare. object_id è un alias che può essere usato in alternativa. Non è possibile usare in una richiesta che include client_id, mi_res_id o object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.
mi_res_id	Query	(Facoltativo) ID delle risorsa Azure dell'identità assegnata dall'utente da usare. Non è possibile usare in una richiesta che include principal_id, client_ido object_id. Se vengono omessi tutti i parametri ID (client_id, principal_id, object_id e mi_res_id), viene usata l'identità assegnata dal sistema.

Importante

Per ottenere i token per le identità assegnate dall'utente, è necessario includere una delle proprietà facoltative. In caso contrario, il servizio token tenterà di ottenere un token per un'identità assegnata dal sistema, che potrebbe o meno esistere.

Usare l'identità gestita per le regole di scalabilità

È possibile usare le identità gestite nelle regole di scalabilità per eseguire l'autenticazione con i servizi di Azure che supportano le identità gestite. Per usare un'identità gestita nella regola di scalabilità, usare la identity proprietà anziché la auth proprietà nella regola di scalabilità. I valori accettabili per la identity proprietà sono l'ID risorsa di Azure di un'identità assegnata dall'utente o system l'uso di un'identità assegnata dal sistema.

Nota

L'autenticazione dell'identità gestita nelle regole di scalabilità è disponibile in anteprima pubblica. È disponibile nella versione 2024-02-02-previewdell'API .

L'esempio di modello di Resource Manager seguente illustra come usare un'identità gestita con una regola di scalabilità di Archiviazione code di Azure:

L'account di archiviazione code usa la accountName proprietà per identificare l'account di archiviazione, mentre la identity proprietà specifica l'identità gestita da usare. Non è necessario usare la auth proprietà .

"scale": {
    "minReplicas": 1,
    "maxReplicas": 10,
    "rules": [{
        "name": "myQueueRule",
        "azureQueue": {
            "accountName": "mystorageaccount",
            "queueName": "myqueue",
            "queueLength": 2,
            "identity": "<IDENTITY1_RESOURCE_ID>"
        }
    }]
}

Per altre informazioni sull'uso dell'identità gestita con regole di scalabilità, vedere Impostare le regole di scalabilità in App Azure Container.

Controllare la disponibilità delle identità gestite

App contenitore consente di specificare contenitori init e contenitori principali. Per impostazione predefinita, sia i contenitori main che init in un ambiente del profilo del carico di lavoro a consumo possono usare l'identità gestita per accedere ad altri servizi di Azure. Negli ambienti di sola utilizzo e negli ambienti del profilo del carico di lavoro dedicati, solo i contenitori principali possono usare l'identità gestita. I token di accesso alle identità gestite sono disponibili per ogni identità gestita configurata nell'app contenitore. In alcune situazioni, tuttavia, solo il contenitore init o il contenitore principale richiedono token di accesso per un'identità gestita. In altri casi, è possibile usare un'identità gestita solo per accedere al Registro Azure Container per eseguire il pull dell'immagine del contenitore e l'applicazione stessa non deve avere accesso al Registro Azure Container.

A partire dalla versione 2024-02-02-previewdell'API, è possibile controllare quali identità gestite sono disponibili per l'app contenitore durante le fasi init e principali per seguire il principio di sicurezza dei privilegi minimi. Sono disponibili le seguenti opzioni:

• Init: disponibile solo per i contenitori init. Usare questa opzione quando si vuole eseguire alcune operazioni di inizializzazione che richiedono un'identità gestita, ma non è più necessaria l'identità gestita nel contenitore principale. Questa opzione è attualmente supportata solo negli ambienti di consumo del profilo del carico di lavoro
• Main: disponibile solo per i contenitori principali. Usare questa opzione se il contenitore init non necessita dell'identità gestita.
• All: disponibile per tutti i contenitori. Questo valore è l'impostazione predefinita.
• None: non disponibile per i contenitori. Usare questa opzione quando si dispone di un'identità gestita usata solo per il pull di immagini del Registro Azure Container, le regole di scalabilità o i segreti di Key Vault e non è necessario essere disponibili per il codice in esecuzione nei contenitori.

L'esempio di modello di Resource Manager seguente illustra come configurare un'app contenitore in un ambiente di consumo del profilo del carico di lavoro che:

• Limita l'identità assegnata dal sistema dell'app contenitore solo ai contenitori principali.
• Limita un'identità assegnata dall'utente specifica solo ai contenitori init.
• Usa un'identità assegnata dall'utente specifica per Registro Azure Container pull dell'immagine senza consentire al codice nei contenitori di usare tale identità gestita per accedere al Registro di sistema. In questo esempio i contenitori stessi non devono accedere al Registro di sistema.

Questo approccio limita le risorse a cui è possibile accedere se un attore malintenzionato dovesse ottenere l'accesso non autorizzato ai contenitori.

{
    "location": "eastus2",
    "identity":{
    "type": "SystemAssigned, UserAssigned",
        "userAssignedIdentities": {
            "<IDENTITY1_RESOURCE_ID>":{},
            "<ACR_IMAGEPULL_IDENTITY_RESOURCE_ID>":{}
         }
     },
    "properties": {
        "workloadProfileName":"Consumption",
        "environmentId": "<CONTAINER_APPS_ENVIRONMENT_ID>",
        "configuration": {
            "registries": [
            {
                "server": "myregistry.azurecr.io",
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID"
            }],
            "identitySettings":[
            {
                "identity": "ACR_IMAGEPULL_IDENTITY_RESOURCE_ID",
                "lifecycle": "None"
            },
            {
                "identity": "<IDENTITY1_RESOURCE_ID>",
                "lifecycle": "Init"
            },
            {
                "identity": "system",
                "lifecycle": "Main"
            }]
        },
        "template": {
            "containers":[
                {
                    "image":"myregistry.azurecr.io/main:1.0",
                    "name":"app-main"
                }
            ],
            "initContainers":[
                {
                    "image":"myregistry.azurecr.io/init:1.0",
                    "name":"app-init",
                }
            ]
        }
    }
}

Visualizzare le identità gestite

È possibile visualizzare le identità gestite assegnate dal sistema e assegnate dall'utente usando il comando dell'interfaccia della riga di comando di Azure seguente. L'output mostra il tipo di identità gestita, gli ID tenant e gli ID entità di tutte le identità gestite assegnate all'app contenitore.

az containerapp identity show --name <APP_NAME> --resource-group <GROUP_NAME>

Rimuovere un'identità gestita

Quando si rimuove un'identità assegnata dal sistema, viene eliminata da Microsoft Entra ID. Anche le identità assegnate dal sistema vengono rimosse automaticamente dall'ID Microsoft Entra quando si elimina la risorsa dell'app contenitore stessa. La rimozione delle identità gestite assegnate dall'utente dall'app contenitore non le rimuove dall'ID Microsoft Entra.

Azure portal

1. Nel riquadro di spostamento a sinistra della pagina dell'app scorrere verso il basso fino al gruppo Impostazioni.

2. Selezionare Identità. Seguire quindi i passaggi in base al tipo di identità:

   • Identità assegnata dal sistema: all'interno della scheda Assegnata dal sistema impostare Stato su Disattivato. Seleziona Salva.
   • Identità assegnata dall'utente: selezionare la scheda Assegnata dall'utente, selezionare la casella di controllo relativa all'identità e selezionare Rimuovi. Seleziona Sì per confermare.

Interfaccia della riga di comando di Azure

Per rimuovere l'identità assegnata dal sistema:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> --system-assigned

Per rimuovere una o più identità assegnate dall'utente:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Per rimuovere tutte le identità assegnate dall'utente:

az containerapp identity remove --name <APP_NAME> --resource-group <GROUP_NAME> \
    --user-assigned <IDENTITY1_RESOURCE_ID> <IDENTITY2_RESOURCE_ID>

Modello ARM

Per rimuovere tutte le identità, impostare l'oggetto type dell'identità dell'app contenitore su None nel modello di Resource Manager:

"identity": {
    "type": "None"
}

YAML

Per rimuovere tutte le identità, impostare l'oggetto type dell'identità dell'app contenitore su None nel file di configurazione YAML:

identity:
    type: None

Bicep

Per rimuovere tutte le identità, impostare l'oggetto type dell'identità dell'app contenitore su None nel modello Bicep:

identity: {
  type: 'None'
}

Passaggi successivi

Monitorare un'app