Управляемые удостоверения

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер

Управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между различными службами, зачастую представляет трудности для разработчиков. Управляемые удостоверения избавляют разработчиков от необходимости управлять учетными данными.

Разработчики могут безопасно хранить секреты в Azure Key Vault, однако службам нужен способ доступа к этому хранилищу. Управляемое удостоверение предоставляет для приложений автоматически управляемое удостоверение в идентификаторе Microsoft Entra, которое используется для подключения к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Приложения могут использовать управляемые удостоверения для получения маркеров Microsoft Entra, и при этом им не нужно управлять учетными данными.

Ниже приведены некоторые преимущества использования управляемых удостоверений.

• Управление учетными данными не требуется. Учетные данные даже не доступны для вас.
• Управляемые удостоверения можно использовать для проверки подлинности в любом ресурсе, поддерживающем проверку подлинности Microsoft Entra, включая собственные приложения.
• Управляемые удостоверения можно использовать без дополнительных затрат.

Типы управляемых удостоверений, доступные в Azure

Существует два типа управляемых удостоверений:

• Назначена система: некоторые типы ресурсов Azure, такие как База данных Azure для PostgreSQL — гибкий сервер, позволяют включить управляемое удостоверение непосредственно в ресурсе. Они называются управляемыми удостоверениями, назначенными системой. При включении управляемого удостоверения, назначаемого системой, выполните следующие действия.

  • Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба привязан к жизненному циклу этого ресурса Azure. При удалении ресурса Azure Azure автоматически удаляет субъект-службу.
  • Только один конкретный ресурс Azure может использовать это удостоверение для получения токенов Microsoft Entra ID.
  • Вы можете авторизовать субъект-службу, связанный с управляемым удостоверением, для доступа к одной или нескольким службам.
  • Имя, назначенное субъекту-службе, связанному с управляемым удостоверением, всегда совпадает с именем ресурса Azure, для которого он создан.

• Назначенный пользователем: некоторые типы ресурсов Azure также поддерживают назначение управляемых удостоверений, созданных пользователем в качестве независимых ресурсов. Жизненный цикл этих удостоверений не зависит от жизненного цикла ресурсов, которым они назначены. Их можно назначить нескольким ресурсам. При включении управляемого удостоверения, назначаемого пользователем, выполните следующие действия.

  • Субъект-служба специального типа создается в идентификаторе Microsoft Entra для удостоверения. Субъект-служба управляется отдельно от ресурсов, которые его используют.
  • Несколько ресурсов могут использовать назначенные пользователем удостоверения.
  • Вы авторизуете управляемое удостоверение для доступа к одной или нескольким службам.

Использование управляемых удостоверений в База данных Azure для PostgreSQL — гибкий сервер

Управляемое удостоверение, назначаемое системой для экземпляра База данных Azure для PostgreSQL гибкого сервера, используется следующими способами:

• azure_storage расширение при настройке доступа к учетной записи хранения с помощью managed-identity типа проверки подлинности. Дополнительные сведения см. в том, как настроить расширение azure_storage для использования авторизации с идентификатором Microsoft Entra.
• Зеркальные базы данных Microsoft Fabric из База данных Azure для PostgreSQL — гибкий сервер (предварительная версия) используют учетные данные управляемого удостоверения, назначаемого системой, для подписывания запросов, которые экземпляр гибкого сервера отправляет в службу Azure DataLake в Microsoft Fabric для зеркального отображения назначенных баз данных.

Назначаемые пользователем управляемые удостоверения, настроенные для экземпляра База данных Azure для PostgreSQL гибкого сервера, можно использовать для:

• Шифрование данных с помощью управляемых клиентом ключей.

Связанный контент

• Настройте управляемые удостоверения, назначенные системой или пользователем, в База данных Azure для PostgreSQL — гибкий сервер.
• Правила брандмауэра в База данных Azure для PostgreSQL — гибкий сервер.
• Общедоступный доступ и частные конечные точки в База данных Azure для PostgreSQL — гибкий сервер.
• Интеграция виртуальной сети в База данных Azure для PostgreSQL — гибкий сервер.