Настройка управляемых удостоверений, назначенных системой или пользователем

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — гибкий сервер

В этой статье вы узнаете, как включить или отключить управляемое удостоверение, назначенное системой для вашего экземпляра База данных Azure для PostgreSQL гибкого сервера. Вы также можете узнать, как добавить или удалить одно или несколько назначенных пользователем управляемых удостоверений в экземпляр.

Включение управляемого удостоверения, назначаемого системой для существующих серверов

Портал

В случае использования портала Azure выполните следующие действия:

1. Найдите сервер на портале, если от еще не открыт. Одним из способов этого является ввод имени сервера в строке поиска. Когда отображается ресурс с соответствующим именем, выберите этот ресурс.

   

2. В меню ресурсов в разделе "Безопасность" выберите "Удостоверение". Затем в разделе управляемого удостоверения, назначаемого системой, выберите параметр "Вкл.". Выберите Сохранить.

   

3. По завершении процесса уведомление сообщает о том, что назначенное системой управляемое удостоверение включено.

   

CLI

Команда az postgres flexible-server update не предоставляет встроенную поддержку для включения и отключения управляемого удостоверения, назначенного системой. В качестве обходного решения можно использовать команду az rest , чтобы напрямую вызвать серверы — обновить REST API.

# Enable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ -z "$result" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned"}}'
elif [ "$result" == "UserAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"SystemAssigned,UserAssigned"}}'
else
    echo "System Assigned Managed identity is already enabled."
fi

Отключение управляемого удостоверения, назначаемого системой для существующих серверов

Портал

В случае использования портала Azure выполните следующие действия:

1. Найдите сервер на портале, если от еще не открыт. Одним из способов этого является ввод имени сервера в строке поиска. Когда отображается ресурс с соответствующим именем, выберите этот ресурс.

   

2. В меню ресурсов в разделе "Безопасность" выберите "Удостоверение". Затем в разделе управляемого удостоверения, назначаемого системой, выберите параметр "Отключить". Выберите Сохранить.

   

3. По завершении процесса уведомление сообщает, что назначенное системой управляемое удостоверение отключено.

   

CLI

Команда az postgres flexible-server update не предоставляет встроенную поддержку для включения и отключения управляемого удостоверения, назначенного системой. В качестве обходного решения можно использовать команду az rest , чтобы напрямую вызвать серверы — обновить REST API.

# Disable system assigned managed identity
subscriptionId=<subscription-id>
resourceGroup=<resource-group>
server=<server>
result=$(az postgres flexible-server show --resource-group $resourceGroup --name $server --query "identity.type" --output tsv)
if [ "$result" == "SystemAssigned" ]; then
    az rest --method patch --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DBforPostgreSQL/flexibleServers/$server?api-version=2024-08-01 --body '{"identity":{"type":"None"}}'
elif [ "$result" == "SystemAssigned,UserAssigned" ]; then
    echo "System Assigned Managed identity cannot be disabled as the instance has User Assigned Managed identities assigned."
else
    echo "System Assigned Managed identity is already disabled."
fi

Отображение управляемого удостоверения, назначаемого системой

Портал

В случае использования портала Azure выполните следующие действия:

1. Найдите сервер на портале, если от еще не открыт. Одним из способов этого является ввод имени сервера в строке поиска. Когда отображается ресурс с соответствующим именем, выберите этот ресурс.

   

2. В меню ресурсов в разделе "Обзор" выберите представление JSON.

   

3. На открывающейся панели JSON ресурса найдите свойство удостоверения и в нем можно найти субъект-идентификатор и идентификатор клиента для назначаемого системой управляемого удостоверения.

   

CLI

# Show the system assigned managed identity
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "{principalId:principalId, tenantId:tenantId}" --output table

Проверка управляемого удостоверения, назначаемого системой

Портал

В случае использования портала Azure выполните следующие действия:

1. Найдите службу корпоративных приложений на портале, если она не открыта. Один из способов сделать это — ввести его имя в строке поиска. Когда отображается служба с соответствующим именем, выберите ее.

   

2. Выберите тип приложения == Управляемое удостоверение.

3. Укажите имя экземпляра База данных Azure для PostgreSQL гибкого сервера в текстовом поле поиска по имени приложения или идентификатору объекта.

   

CLI

# Verify the system assigned managed identity
server=<server>
az ad sp list --display-name $server

Связывание управляемых удостоверений, назначенных пользователем, с существующими серверами

В этой статье предполагается, что вы создали управляемые удостоверения, назначенные пользователем, которые необходимо связать с существующим экземпляром База данных Azure для PostgreSQL гибким сервером.

Дополнительные сведения см. в статье об управлении управляемыми удостоверениями, назначенными пользователем, в идентификаторе Microsoft Entra.

Можно связать максимальное количество назначенных пользователем управляемых удостоверений, так как требуется экземпляру База данных Azure для PostgreSQL гибкого сервера.

Портал

Не поддерживается связывание управляемых удостоверений, назначенных пользователем, с экземпляром База данных Azure для PostgreSQL гибким сервером через портал.

CLI

Вы можете связать назначенное пользователем удостоверение с экземпляром гибкого сервера База данных Azure для PostgreSQL с помощью команды az postgres flexible-server identity assign.

# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity

Разъединение назначенных пользователем управляемых удостоверений с существующими серверами

Служба поддерживает разъединение назначенных пользователем управляемых удостоверений, связанных с экземпляром гибкого сервера База данных Azure для PostgreSQL.

Исключением из этого правила является любой из назначенных пользователем управляемых удостоверений, назначенных в качестве тех, которые должны использоваться для доступа к ключам шифрования. Этот случай возможен только на серверах, которые были развернуты с шифрованием данных с помощью ключей, управляемых клиентом.

Портал

Не поддерживается разъединение назначенных пользователем управляемых удостоверений из экземпляра гибкого сервера База данных Azure для PostgreSQL через портал.

CLI

Вы можете отключить удостоверение, назначенное пользователем, от экземпляра гибкого сервера База данных Azure для PostgreSQL с помощью команды az postgres flexible-server identity remove.

# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity

При попытке удалить управляемое удостоверение, назначаемое пользователем, которое используется для доступа к ключу шифрования данных, вы получите следующую ошибку:

Cannot remove identity <identity> because it's used for data encryption.

Отображение назначенных пользователем управляемых удостоверений

Портал

В случае использования портала Azure выполните следующие действия:

1. Найдите сервер на портале, если от еще не открыт. Одним из способов этого является ввод имени сервера в строке поиска. Когда отображается ресурс с соответствующим именем, выберите этот ресурс.

   

2. В меню ресурсов в разделе "Обзор" выберите представление JSON.

   

3. На открывающейся панели JSON ресурса найдите свойство удостоверения и в нем можно найти пользователяAssignedIdentities. Этот объект состоит из одной или нескольких пар "ключ-значение", где каждый ключ представляет идентификатор ресурса одного назначаемого пользователем управляемого удостоверения, а соответствующее значение состоит из основного и клиентского идентификатора, связанных с этим управляемым удостоверением.

   

CLI

# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"

Связанный контент

• Управляемые удостоверения в База данных Azure для PostgreSQL — гибкий сервер.
• Правила брандмауэра в База данных Azure для PostgreSQL — гибкий сервер.
• Общедоступный доступ и частные конечные точки в База данных Azure для PostgreSQL — гибкий сервер.
• Интеграция виртуальной сети в База данных Azure для PostgreSQL — гибкий сервер.