Jak używać tożsamości zarządzanych na potrzeby konfiguracji aplikacja systemu Azure
W tym artykule pokazano, jak utworzyć tożsamość zarządzaną dla aplikacja systemu Azure Configuration. Tożsamość zarządzana z identyfikatora Entra firmy Microsoft umożliwia aplikacja systemu Azure Configuration łatwe uzyskiwanie dostępu do innych chronionych zasobów firmy Microsoft. Tożsamość jest zarządzana przez platformę Azure. Nie wymaga aprowizacji ani rotacji żadnych wpisów tajnych. Aby uzyskać więcej informacji na temat tożsamości zarządzanych w usłudze Microsoft Entra ID, zobacz Tożsamości zarządzane dla zasobów platformy Azure.
Aplikacja może mieć korzystać z dwóch typów tożsamości:
- Tożsamość przypisana przez system jest powiązana z magazynem konfiguracji. Zostanie on usunięty, jeśli magazyn konfiguracji zostanie usunięty. Magazyn konfiguracji może mieć tylko jedną tożsamość przypisaną przez system.
- Tożsamość przypisana przez użytkownika to autonomiczny zasób platformy Azure, który można przypisać do magazynu konfiguracji. Magazyn konfiguracji może mieć wiele tożsamości przypisanych przez użytkownika.
Dodawanie tożsamości przypisanej przez system
Utworzenie magazynu usługi App Configuration z tożsamością przypisaną przez system wymaga ustawienia dodatkowej właściwości w sklepie.
Przy użyciu interfejsu wiersza polecenia platformy Azure
Aby skonfigurować tożsamość zarządzaną przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia [az appconfig identity assign] względem istniejącego magazynu konfiguracji. Dostępne są trzy opcje uruchamiania przykładów w tej sekcji:
- Użyj usługi Azure Cloud Shell w witrynie Azure Portal.
- Użyj osadzonej usługi Azure Cloud Shell za pomocą przycisku "Wypróbuj" znajdującego się w prawym górnym rogu każdego bloku kodu poniżej.
- Zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure (2.1 lub nowszą), jeśli wolisz używać lokalnej konsoli interfejsu wiersza polecenia.
W poniższych krokach przedstawiono procedurę tworzenia magazynu usługi App Configuration i przypisywania jej tożsamości przy użyciu interfejsu wiersza polecenia:
Jeśli używasz interfejsu wiersza polecenia platformy Azure w konsoli lokalnej, najpierw zaloguj się do platformy Azure przy użyciu polecenia [az login]. Użyj konta skojarzonego z subskrypcją platformy Azure:
az login
Utwórz magazyn usługi App Configuration przy użyciu interfejsu wiersza polecenia. Aby uzyskać więcej przykładów używania interfejsu wiersza polecenia z usługą aplikacja systemu Azure Configuration, zobacz Przykłady interfejsu wiersza polecenia usługi App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Uruchom polecenie [az appconfig identity assign], aby utworzyć tożsamość przypisaną przez system dla tego magazynu konfiguracji:
az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
Dodawanie tożsamości przypisanej przez użytkownika
Utworzenie magazynu usługi App Configuration z tożsamością przypisaną przez użytkownika wymaga utworzenia tożsamości, a następnie przypisania jej identyfikatora zasobu do magazynu.
Uwaga
Do magazynu App Configuration można dodać maksymalnie 10 tożsamości zarządzanych przypisanych przez użytkownika.
Przy użyciu interfejsu wiersza polecenia platformy Azure
Aby skonfigurować tożsamość zarządzaną przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia [az appconfig identity assign] względem istniejącego magazynu konfiguracji. Dostępne są trzy opcje uruchamiania przykładów w tej sekcji:
- Użyj usługi Azure Cloud Shell w witrynie Azure Portal.
- Użyj osadzonej usługi Azure Cloud Shell za pomocą przycisku "Wypróbuj" znajdującego się w prawym górnym rogu każdego bloku kodu poniżej.
- Zainstaluj najnowszą wersję interfejsu wiersza polecenia platformy Azure (2.0.31 lub nowszą), jeśli wolisz używać lokalnej konsoli interfejsu wiersza polecenia.
W poniższych krokach przedstawiono proces tworzenia tożsamości przypisanej przez użytkownika i magazynu usługi App Configuration, a następnie przypisywania tożsamości do magazynu przy użyciu interfejsu wiersza polecenia:
Jeśli używasz interfejsu wiersza polecenia platformy Azure w konsoli lokalnej, najpierw zaloguj się do platformy Azure przy użyciu polecenia [az login]. Użyj konta skojarzonego z subskrypcją platformy Azure:
az login
Utwórz magazyn usługi App Configuration przy użyciu interfejsu wiersza polecenia. Aby uzyskać więcej przykładów używania interfejsu wiersza polecenia z usługą aplikacja systemu Azure Configuration, zobacz Przykłady interfejsu wiersza polecenia usługi App Configuration:
az group create --name myResourceGroup --location eastus az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
Utwórz tożsamość przypisaną przez użytkownika o nazwie
myUserAssignedIdentity
przy użyciu interfejsu wiersza polecenia.az identity create --resource-group myResourceGroup --name myUserAssignedIdentity
W danych wyjściowych tego polecenia zanotuj
id
wartość właściwości .Uruchom polecenie [az appconfig identity assign], aby przypisać nową tożsamość przypisaną przez użytkownika do tego magazynu konfiguracji. Użyj wartości
id
właściwości zanotowaną w poprzednim kroku.az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
Usuwanie tożsamości
Tożsamość przypisana przez system można usunąć, wyłączając tę funkcję przy użyciu polecenia az appconfig identity remove w interfejsie wiersza polecenia platformy Azure. Tożsamości przypisane przez użytkownika można usunąć indywidualnie. Usunięcie tożsamości przypisanej przez system w ten sposób spowoduje również usunięcie jej z identyfikatora Entra firmy Microsoft. Tożsamości przypisane przez system są również automatycznie usuwane z identyfikatora Entra firmy Microsoft po usunięciu zasobu aplikacji.