受控識別
適用於: 
適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器
開發人員常見的挑戰是管理用來保護服務間安全通訊的祕密、認證、憑證和金鑰。 受控識別會排除開發人員管理這些認證的需求。
雖然開發人員可以安全地將祕密儲存在 Azure Key Vault 中,但是服務需要存取 Azure Key Vault 的方法。 受控識別可針對應用程式提供 Microsoft Entra ID 中的自動受控識別,以在連線至支援 Microsoft Entra 驗證的資源時使用。 應用程式可以使用受控識別來取得 Microsoft Entra 權杖,而不需要管理任何認證。
以下為使用受控識別的一些優點:
- 不需要管理認證。 您甚至無法存取認證。
- 您可使用受控識別,驗證支援 Microsoft Entra 驗證的任何資源 (包括您自己的應用程式)。
- 不需任何額外成本,即可使用受控識別。
Azure 中可用的受控識別類型
受控識別有兩種:
系統指派:某些 Azure 資源類型,例如 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器,可讓您直接在資源上啟用受控識別。 它們稱為系統指派的受控識別。 當您啟用系統指派的受控識別時:
- 在該身分識別的 Microsoft Entra ID 中建立特殊型別的服務主體。 服務主體會繫結至該 Azure 資源的生命週期。 刪除 Azure 資源時,Azure 會自動為您刪除服務主體。
- 根據設計,只有該 Azure 資源可以使用此身分識別,自 Microsoft Entra ID 要求權杖。
- 您可以授權與受控識別相關聯的服務主體存取一或多個服務。
- 指派給與受控識別相關聯之服務主體的名稱,一律與建立受控識別的 Azure 資源名稱相同。
使用者指派:某些 Azure 資源類型也支援將使用者建立的受控識別指派為獨立資源。 這些身分識別的生命週期與指派的資源生命周期無關。 這些資源可以指派給多個資源。 當您啟用使用者指派的受控識別時:
- 在該身分識別的 Microsoft Entra ID 中建立特殊型別的服務主體。 服務主體會與使用它的資源分開管理。
- 多個資源可以利用使用者指派的身分識別。
- 您可以授權受控識別存取一或多個服務。
在 適用於 PostgreSQL 的 Azure 資料庫 中使用受控識別 - 彈性伺服器
系統為 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器實例指派的受控識別,由:
- 當設定為使用
managed-identity驗證類型存取記憶體帳戶時,azure_storage擴充功能。 如需詳細資訊,請參閱如何 設定azure_storage延伸模組,以搭配 Microsoft Entra 識別碼使用授權。 - Microsoft來自 適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器 (預覽) 的網狀架構鏡像資料庫會使用系統指派受控識別的認證來簽署彈性伺服器實例傳送至 Microsoft Fabric 中 Azure DataLake 服務的要求,以鏡像指定的資料庫。
針對 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器實例所設定的使用者指派受控識別可用於:
- 使用客戶管理的金鑰進行數據加密。