Configurare identità gestite assegnate dal sistema o dall'utente

SI APPLICA A: Database di Azure per PostgreSQL - Server flessibile

Questo articolo illustra come abilitare o disabilitare un'identità gestita assegnata dal sistema per l'istanza di Database di Azure per PostgreSQL server flessibile. È anche possibile apprendere come aggiungere o rimuovere una o più identità gestite assegnate dall'utente all'istanza.

Abilitare l'identità gestita assegnata dal sistema per i server esistenti

Portale

Tramite il portale di Azure:

1. Individuare il server nel portale, se non è già aperto. Un modo per eseguire questa operazione consiste nel digitare il nome del server nella barra di ricerca. Quando viene visualizzata la risorsa con il nome corrispondente, selezionare tale risorsa.

   

2. Nel menu della risorsa, in Sicurezza, selezionare Identità. Nella sezione Identità gestita assegnata dal sistema selezionare quindi l'opzione Sì. Seleziona Salva.

   

3. Al termine del processo, una notifica informa che l'identità gestita assegnata dal sistema è abilitata.

   

CLI

Il comando az postgres flexible-server update non fornisce il supporto predefinito per abilitare e disabilitare ancora l'identità gestita assegnata dal sistema. Come soluzione alternativa, è possibile usare il comando az rest per richiamare direttamente l'API REST Servers - Update .

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

Disabilitare l'identità gestita assegnata dal sistema per i server esistenti

Portale

Tramite il portale di Azure:

1. Individuare il server nel portale, se non è già aperto. Un modo per eseguire questa operazione consiste nel digitare il nome del server nella barra di ricerca. Quando viene visualizzata la risorsa con il nome corrispondente, selezionare tale risorsa.

   

2. Nel menu della risorsa, in Sicurezza, selezionare Identità. Nella sezione Identità gestita assegnata dal sistema selezionare quindi l'opzione No. Seleziona Salva.

   

3. Al termine del processo, una notifica informa che l'identità gestita assegnata dal sistema è disabilitata.

   

CLI

Il comando az postgres flexible-server update non fornisce il supporto predefinito per abilitare e disabilitare ancora l'identità gestita assegnata dal sistema. Come soluzione alternativa, è possibile usare il comando az rest per richiamare direttamente l'API REST Servers - Update .

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

Visualizzare l'identità gestita assegnata dal sistema

Portale

Tramite il portale di Azure:

1. Individuare il server nel portale, se non è già aperto. Un modo per eseguire questa operazione consiste nel digitare il nome del server nella barra di ricerca. Quando viene visualizzata la risorsa con il nome corrispondente, selezionare tale risorsa.

   

2. Nel menu della risorsa, in Panoramica, selezionare Visualizzazione JSON.

   

3. Nel pannello RESOURCE JSON che si apre trovare la proprietà Identity e, al suo interno, è possibile trovare principalId e tenantId per l'identità gestita assegnata dal sistema.

   

CLI

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "{principalId:principalId, tenantId:tenantId}" --output table

Verificare l'identità gestita assegnata dal sistema

Portale

Tramite il portale di Azure:

1. Individuare il servizio Applicazioni aziendali nel portale, se non è aperto. Un modo per farlo consiste nel digitare il nome nella barra di ricerca. Quando viene visualizzato il servizio con il nome corrispondente, selezionarlo.

   

2. Scegliere Tipo di applicazione == Identità gestita.

3. Specificare il nome dell'istanza di Database di Azure per PostgreSQL server flessibile nella casella di testo Cerca per nome applicazione o ID oggetto.

   

CLI

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

Associare le identità gestite assegnate dall'utente ai server esistenti

Questo articolo presuppone che siano state create le identità gestite assegnate dall'utente da associare a un'istanza esistente di Database di Azure per PostgreSQL server flessibile.

Per altre informazioni, vedere come gestire le identità gestite assegnate dall'utente in Microsoft Entra ID.

È possibile associare il numero di identità gestite assegnate dall'utente a un'istanza di Database di Azure per PostgreSQL server flessibile.

Portale

Non è disponibile alcun supporto per associare le identità gestite assegnate dall'utente a un'istanza di Database di Azure per PostgreSQL server flessibile tramite il portale.

CLI

È possibile associare un'identità assegnata dall'utente a un'istanza di Database di Azure per PostgreSQL server flessibile tramite il comando az postgres flexible-server identity assign.

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity

Annullare l'dissociazione delle identità gestite assegnate dall'utente ai server esistenti

Il servizio supporta l'associazione delle identità gestite assegnate dall'utente associate a un'istanza di Database di Azure per PostgreSQL server flessibile.

Un'eccezione a tale regola è una qualsiasi identità gestita assegnata dall'utente designata come quelle che devono essere usate per accedere alle chiavi di crittografia. Questo caso è possibile solo nei server distribuiti con la crittografia dei dati usando chiavi gestite dal cliente.

Portale

Non è disponibile alcun supporto per annullare l'dissociazione delle identità gestite assegnate dall'utente da un'istanza di Database di Azure per PostgreSQL server flessibile tramite il portale.

CLI

È possibile annullare l'dissociazione di un'identità assegnata dall'utente da un'istanza di Database di Azure per PostgreSQL server flessibile tramite il comando az postgres flexible-server identity remove.

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity

Se si tenta di rimuovere un'identità gestita assegnata dall'utente usata per accedere a una chiave di crittografia dei dati, viene visualizzato l'errore seguente:

Cannot remove identity <identity> because it's used for data encryption.

Visualizzare le identità gestite assegnate dall'utente associato

Portale

Tramite il portale di Azure:

1. Individuare il server nel portale, se non è già aperto. Un modo per eseguire questa operazione consiste nel digitare il nome del server nella barra di ricerca. Quando viene visualizzata la risorsa con il nome corrispondente, selezionare tale risorsa.

   

2. Nel menu della risorsa, in Panoramica, selezionare Visualizzazione JSON.

   

3. Nel pannello RESOURCE JSON che si apre individuare la proprietà Identity e, al suo interno, è possibile trovare userAssignedIdentities. Tale oggetto è costituito da una o più coppie chiave/valore, in cui ogni chiave rappresenta l'identificatore di risorsa di un'identità gestita assegnata dall'utente e il valore corrispondente è costituito da principalId e clientId associati a tale identità gestita.

   

CLI

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"

Contenuto correlato

• Identità gestite in Database di Azure per PostgreSQL - Server flessibile.
• Regole del firewall in Database di Azure per PostgreSQL - Server flessibile.
• Accesso pubblico ed endpoint privati in Database di Azure per PostgreSQL - Server flessibile.
• Integrazione della rete virtuale in Database di Azure per PostgreSQL - Server flessibile.