通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为开发人员中心配置托管标识

  • 项目

本指南介绍如何为 Azure 部署环境开发中心添加和配置托管标识,以便为开发团队启用安全部署。

Azure 部署环境使用托管标识为开发团队提供自助部署功能,而无需授予团队访问创建 Azure 资源的订阅的权限。 托管标识针对支持 Microsoft Entra 身份验证的任何服务增加了提升特权功能和安全身份验证。

应在每种环境类型的部署订阅中为附加到开发中心的托管标识分配“参与者”角色和“用户访问管理员”角色。 请求环境部署时,该服务会向根据环境类型设置的部署标识授予适当的权限,以代表用户执行部署。 附加到开发人员中心的托管标识还用于添加到目录以及访问目录中的环境定义

添加托管标识

在 Azure 部署环境中,可以选择两种类型的托管标识:

  • 系统分配的标识:系统分配的标识绑定到开发人员中心或项目环境类型。 删除附加资源时,也会删除系统分配的标识。 开发人员中心或项目环境类型只能有一个系统分配的标识。
  • 用户分配的标识:用户分配的标识是一个独立的 Azure 资源,你可以将其分配给开发中心或项目环境类型。 对于 Azure 部署环境,开发人员中心或项目环境类型只能有一个用户分配的标识。

如果你选择使用用户分配的标识,请为项目和开发人员中心使用不同的标识,这是安全最佳做法。 与开发人员中心相比,项目标识对资源的访问权限应该更有限。

注意

在 Azure 部署环境中,如果同时添加系统分配的标识和用户分配的标识,则系统仅使用由用户分配的标识。

添加系统分配的托管标识

  1. Azure 门户中转至“Azure 部署环境”。

  2. 在“开发人员中心”中选择你的开发人员中心

  3. 在左侧菜单中的“设置”下,选择“标识”

  4. 在“系统分配”下,将“状态”设置为“开”。

  5. 选择“保存”。

    显示系统分配的托管标识的屏幕截图。

  6. 在“启用系统分配的托管标识”对话框中,选择“是”。

添加用户分配的托管标识

  1. Azure 门户中转至“Azure 部署环境”。

  2. 在“开发人员中心”中选择你的开发人员中心

  3. 在左侧菜单中的“设置”下,选择“标识”

  4. 在“用户分配”下,选择“添加”以附加现有标识。

    显示用户分配的托管标识的屏幕截图。

  5. 在“添加用户分配的托管标识”中,输入或选择以下信息:

    1. 在“订阅”中,选择标识所在的订阅。
    2. 在“用户分配的托管标识”中,选择现有标识。
    3. 选择 添加

分配订阅角色分配

应为所有部署订阅分配附加到开发人员中心的标识,并为包含相关项目的所有订阅分配“参与者”和“用户访问管理员”角色。 当用户创建或部署环境时,服务会授予对附加到项目环境类型的部署标识的适当访问权限。 部署标识使用访问权限代表用户执行部署。 可以使用托管标识使开发人员能够创建环境,而无需授予开发人员对订阅的访问权限。

向系统分配的托管标识添加角色分配

  1. 在 Azure 门户中,导航到 Azure 部署环境中的开发人员中心。

  2. 在左侧菜单中的“设置”下,选择“标识”

  3. 在“系统分配”>“权限”下,选择“Azure 角色分配”。

    显示系统分配标识的 Azure 角色分配的屏幕截图。

  4. 若要向参与者授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 参与者

  5. 若要向用户访问管理员授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 用户访问管理员

向用户分配的托管标识添加角色分配

  1. 在 Azure 门户中,导航到开发人员中心。

  2. 在左侧菜单中的“设置”下,选择“标识”

  3. 在“用户分配”下,选择标识。

  4. 在左侧菜单中,选择“Azure 角色分配”。

  5. 若要向参与者授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 参与者

  6. 若要向用户访问管理员授予订阅的访问权限,请选择“添加角色分配(预览版)”,输入或选择以下信息,然后选择“保存”:

    名称
    范围 订阅
    订阅 选择要在其中使用托管标识的订阅。
    角色 用户访问管理员

将托管标识访问权限授予密钥保管库机密

可以将密钥库设置为使用密钥库访问策略Azure 基于角色的访问控制

注意

在将存储库添加为目录之前,必须首先向托管标识授予相应的访问权限,使其能够访问包含存储库个人访问令牌的密钥保管库机密。

密钥保管库访问策略

如果密钥保管库配置为使用密钥库访问策略,请执行以下操作:

  1. 在 Azure 门户中,转到包含具有个人访问令牌的机密的密钥保管库。

  2. 在左侧菜单中,选择“访问策略”,然后选择“创建”

  3. 在“创建访问策略”中,输入或选择以下信息:

    1. 在“权限”选项卡上的“机密权限”下,选中“获取”复选框,然后选择“下一步”。
    2. 在“主体”选项卡上,选择附加到开发人员中心的标识。
    3. 选择“查看 + 创建”,然后选择“创建”。

Azure 基于角色的访问控制

如果密钥保管库配置为使用“Azure 基于角色的访问控制”:

  1. 在 Azure 门户中,转到包含具有个人访问令牌的机密的密钥保管库。

  2. 在左侧菜单中,选择“访问控制 (IAM)”。

  3. 选择标识,然后在左侧菜单中选择“Azure 角色分配”。

  4. 选择“添加角色分配”,然后输入或选择以下信息:

    1. 对于“范围”,请选择密钥保管库
    2. 对于“订阅”,请选择包含密钥保管库的订阅
    3. 对于“资源”,请选择密钥保管库
    4. 对于“角色”,请选择“密钥保管库机密用户”
    5. 选择“保存”。

相关内容