使用者指派的受控識別
本文內容
適用於:
本文提供將使用者指派的受控識別新增或移除至 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的逐步指示。
指派給現有伺服器的步驟
本文假設您已建立使用者指派的受控識別,而您想要與現有的 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器實例產生關聯。
如需詳細資訊,請參閱 如何在 Microsoft Entra 標識碼 中管理使用者指派的受控識別。
您可以盡可能將使用者指派的受控識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例產生關聯。
不支援透過入口網站將使用者指派的受控識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例產生關聯。
您可以透過 az postgres flexible-server identity assign 命令,將使用者指派的身分識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例產生關聯。
# Associate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity assign --resource-group $resourceGroup --server-name $server --identity $identity
從現有伺服器移除的步驟
服務支援將使用者指派的受控識別解除關聯,這些識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例相關聯。
該規則的例外狀況是任何使用者指派的受控識別,這些識別會指定為應該用來存取加密密鑰的受控識別。 只有在使用客戶管理的密鑰來部署 數據加密的伺服器上,才可能發生這種情況。
不支援透過入口網站將使用者指派的受控識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例解除關聯。
您可以透過 az postgres flexible-server identity remove 命令,將使用者指派的身分識別與 適用於 PostgreSQL 的 Azure 資料庫 彈性伺服器的實例解除關聯。
# Dissociate user assigned managed identity
resourceGroup=<resource-group>
server=<server>
identity=<identity>
az postgres flexible-server identity remove --resource-group $resourceGroup --server-name $server --identity $identity
如果您嘗試移除用來存取資料加密金鑰的使用者指派受控識別,您會收到下列錯誤:
Cannot remove identity <identity> because it's used for data encryption.
顯示目前指派的步驟
使用 Azure 入口網站 :
如果您尚未開啟伺服器,請在入口網站中找到您的伺服器。 其中一種方法是在搜尋列中輸入伺服器的名稱。 顯示具有相符名稱的資源時,請選取該資源。
在資源功能表中的 [概觀] 底下 ,選取 [JSON 檢視 ]。
在開啟的 [資源 JSON] 面板中,尋找身分識別屬性,並在其中找到 userAssignedIdentities 。 該物件是由一或多個索引鍵/值組所組成,其中每個索引鍵代表一位使用者指派的受控識別的資源標識符,而其對應的值是由與該受控識別相關聯的 principalId 和 clientId 所組成。
# List all associated user assigned managed identities
resourceGroup=<resource-group>
server=<server>
az postgres flexible-server identity list --resource-group $resourceGroup --server-name $server --query "userAssignedIdentities"
相關內容
適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器
