Управление управляемыми удостоверениями, назначаемыми пользователем для приложения в Azure Spring Apps

Примечание.

Планы "Базовый", "Стандартный" и "Корпоративный" будут устарели начиная с середины марта 2025 г. с 3-летнего периода выхода на пенсию. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в объявлении о выходе на пенсию в Azure Spring Apps.

Стандартный план потребления и выделенного плана будет устарел с 30 сентября 2024 г. с полным завершением работы после шести месяцев. Рекомендуется перейти в приложения контейнеров Azure. Дополнительные сведения см. в статье "Миграция потребления Azure Spring Apps Standard" и выделенного плана в приложения контейнеров Azure.

Эта статья относится к:✅ Basic/Standard ✅ Enterprise

В этой статье показано, как назначать или удалять назначаемые пользователем управляемые удостоверения для приложения в Azure Spring Apps с помощью портала Azure и CLI.

Управляемые удостоверения для ресурсов Azure предоставляют автоматически управляемое удостоверение в идентификаторе Microsoft Entra для ресурса Azure, например приложения в Azure Spring Apps. Это удостоверение можно использовать для проверки подлинности в любой службе, которая поддерживает аутентификацию Microsoft Entra, без использования учетных данных в коде.

Необходимые компоненты

• Если вы не знакомы с управляемыми удостоверениями для ресурсов Azure, ознакомьтесь со сведениями об управляемых удостоверениях для ресурсов Azure?

• Уже подготовленный экземпляр плана Azure Spring Apps Enterprise. Дополнительные сведения см . в кратком руководстве по созданию и развертыванию приложений в Azure Spring Apps с помощью плана Enterprise.
• Azure CLI версии 2.45.0 или более поздней.
• Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:

  az extension remove --name spring
  az extension add --name spring
  

• Как минимум одно уже подготовленное управляемое удостоверение, назначенное пользователем. Дополнительные сведения см. в статье "Управление управляемыми удостоверениями, назначаемыми пользователем".

• Подготовленный экземпляр Azure Spring Apps. Дополнительные сведения см. в статье Краткое руководство. Развертывание первого приложения Azure Spring Apps.
• Azure CLI версии 2.45.0 или более поздней.
• Расширение Azure Spring Apps для Azure CLI поддерживает управляемое удостоверение, назначаемое пользователем, с версией 1.0.0 или более поздней. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение:

  az extension remove --name spring
  az extension add --name spring
  

• Как минимум одно уже подготовленное управляемое удостоверение, назначенное пользователем. Дополнительные сведения см. в статье "Управление управляемыми удостоверениями, назначаемыми пользователем".

Назначение управляемых удостоверений, назначаемых пользователем при создании приложения

Создайте приложение и назначьте управляемое удостоверение, назначаемое пользователем, с помощью следующей команды:

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Назначение управляемых удостоверений, назначаемых пользователем существующему приложению

Назначение управляемого удостоверения, назначаемого пользователем, требует установки другого свойства в приложении.

Портал Azure

Чтобы назначить управляемое удостоверение, назначаемое пользователем, существующему приложению в портале Azure, выполните следующие действия.

1. Перейдите к приложению в портале Azure обычным образом.
2. Прокрутите вниз до группы Параметры в левой области навигации.
3. Выберите Удостоверение.
4. На вкладке Назначено пользователем выберите Добавить.
5. Выберите одно или несколько управляемых удостоверений, назначаемых пользователем, на правой панели и нажмите кнопку "Добавить" на этой панели.

Azure CLI

Используйте следующую команду, чтобы назначить одно или несколько управляемых удостоверений, назначаемых пользователем, в существующем приложении:

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to assign>

Получение маркеров для ресурсов Azure

Приложение может использовать управляемое удостоверение для получения маркеров для доступа к другим ресурсам, защищенным идентификатором Microsoft Entra, например Azure Key Vault. Эти маркеры представляют приложение, получающее доступ к ресурсам, а не конкретного пользователя приложения.

Возможно, потребуется настроить целевой ресурс, чтобы включить доступ из приложения. Дополнительные сведения см. в статье "Назначение доступа к управляемому удостоверению" к ресурсу Azure или другому ресурсу. Например, если вы запрашиваете маркер для доступа к Key Vault, убедитесь, что вы добавили политику доступа, содержащую удостоверение приложения. В противном случае вызовы Key Vault отклоняются, даже если они включают маркер. Дополнительные сведения о том, какие ресурсы поддерживают маркеры Microsoft Entra, см. в службах Azure, поддерживающих проверку подлинности Microsoft Entra

Azure Spring Apps использует одну и ту же конечную точку для получения маркера с помощью виртуальных машин Azure. Для получения токена рекомендуется использовать пакет SDK для Java или приложения Spring Boot Starter. Различные примеры кода и скрипта и рекомендации по важным темам, таким как обработка истечения срока действия маркера и ошибки HTTP, см. в статье "Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа".

Удаление управляемых удостоверений, назначаемых пользователем, из существующего приложения

Удаление управляемых удостоверений, назначаемых пользователем, удаляет назначение между удостоверениями и приложением и не удаляет сами удостоверения.

Портал Azure

Чтобы удалить управляемые удостоверения, назначаемые пользователем, из приложения, которое больше не требуется, выполните следующие действия:

1. Войдите на портал Azure с помощью учетной записи, связанной с подпиской Azure, которая содержит экземпляр Azure Spring Apps.
2. Перейдите к нужному приложению и выберите Удостоверение.
3. В разделе "Назначенный пользователем" выберите целевые удостоверения и нажмите кнопку "Удалить".

Azure CLI

Чтобы удалить управляемые удостоверения, назначаемые пользователем, из приложения, которое больше не требуется, выполните следующие действия:

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --user-assigned <space-separated user identity resource IDs to remove>

Ограничения

Сведения об ограничениях управляемых удостоверений, назначаемых пользователем, см. в разделе "Квоты и планы обслуживания" для Azure Spring Apps.

Следующие шаги

• Что такое управляемые удостоверения для ресурсов Azure?
• Использование управляемых удостоверений с пакетом SDK для Java