Share via

Konfigurieren einer verwalteten Identität für ein Dev Center

  • Artikel

In diesem Handbuch wird erläutert, wie Sie eine verwaltete Identität für Ihr Dev Center für Azure-Bereitstellungsumgebungen hinzufügen und konfigurieren, um eine sichere Bereitstellung für Entwicklungsteams zu ermöglichen.

Azure Deployment Environments verwendet verwaltete Identitäten, um Entwicklungsteams Self-Serve-Bereitstellungsfunktionen zu ermöglichen, ohne ihnen Zugriff auf die Abonnements zu gewähren, in denen Azure-Ressourcen erstellt werden. Eine verwaltete Identität fügt funktionen mit erhöhten Rechten und sichere Authentifizierung zu jedem Dienst hinzu, der die Microsoft Entra-Authentifizierung unterstützt.

Die verwaltete Identität, die einem Dev Center zugeordnet ist, sollte sowohl der Rolle "Mitwirkender" als auch der Rolle "Benutzerzugriffsadministrator" in den Bereitstellungsabonnements für jeden Umgebungstyp zugewiesen werden. Wenn eine Umgebungsbereitstellung angefordert wird, gewährt der Dienst den Bereitstellungsidentitäten, die pro Umgebungstyp eingerichtet sind, die entsprechenden Berechtigungen, um Bereitstellungen im Auftrag des Benutzers auszuführen. Die mit einem Dev Center verknüpfte verwaltete Identität wird auch verwendet, um einem Katalog und Zugriffsumgebungsdefinitionen im Katalog hinzuzufügen.

Hinzufügen einer verwalteten Identität

In Azure Deployment Environments können Sie zwei Arten verwalteter Identitäten verwenden:

  • Systemseitig zugewiesene Identität: Eine systemseitig zugewiesene Identität ist entweder an Ihr Dev Center oder an den Projektumgebungstyp gebunden. Eine systemseitig zugewiesene Identität wird gelöscht, wenn die angefügte Ressource gelöscht wird. Ein Dev Center oder ein Projektumgebungstyp kann nur eine systemseitig zugewiesene Identität verwenden.
  • Benutzerseitig zugewiesene Identität: Eine benutzerseitig zugewiesene Identität ist eine eigenständige Azure-Ressource, die Ihrem Dev Center oder einem Projektumgebungstyp zugewiesen werden kann. Für Azure-Bereitstellungsumgebungen kann ein Dev Center oder ein Projektumgebungstyp nur eine vom Benutzer zugewiesene Identität aufweisen.

Als bewährte Methode für die Sicherheit sollten Sie, wenn Sie benutzerdefinierte Identitäten verwenden, unterschiedliche Identitäten für Ihr Projekt und für Ihr Dev Center verwenden. Projektidentitäten sollten im Vergleich zu einem Dev Center eingeschränkteren Zugriff auf Ressourcen haben.

Hinweis

Wenn Sie in Azure-Bereitstellungsumgebungen sowohl eine vom System zugewiesene Identität als auch eine vom Benutzer zugewiesene Identität hinzufügen, wird nur die vom Benutzer zugewiesene Identität verwendet.

Hinzufügen einer vom System zugewiesenen verwalteten Identität

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu „Azure Deployment Environments“.

  2. Wählen Sie in Dev Center Ihr Dev Center aus.

  3. Wählen Sie im linken Menü unter Einstellungen "Identität" aus.

  4. Legen Sie unter Systemseitig zugewiesenStatus auf Ein fest.

  5. Wählen Sie Speichern.

    Screenshot that shows the system-assigned managed identity.

  6. Wählen Sie im Dialogfeld Systemseitig zugewiesene verwaltete Identität aktivieren die Option Ja aus.

Hinzufügen einer benutzerseitig zugewiesenen verwalteten Identität

  1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zu „Azure Deployment Environments“.

  2. Wählen Sie in Dev Center Ihr Dev Center aus.

  3. Wählen Sie im linken Menü unter Einstellungen "Identität" aus.

  4. Wählen Sie unter Benutzerseitig zugewiesen die Option Hinzufügen aus, um eine vorhandene Identität anzufügen.

    Screenshot that shows the user-assigned managed identity.

  5. Geben Sie beim Hinzufügen der vom Benutzer zugewiesenen verwalteten Identität die folgenden Informationen ein, oder wählen Sie sie aus:

    1. Wählen Sie im Abonnement das Abonnement aus, in dem die Identität vorhanden ist.
    2. Wählen Sie auf vom Benutzer zugewiesenen verwalteten Identitäten eine vorhandene Identität aus.
    3. Klicken Sie auf Hinzufügen.

Zuweisen einer Abonnementrollenzuweisung

Die dem Dev Center zugeordnete Identität sollte den Rollen "Mitwirkender" und "Benutzerzugriffsadministrator" für alle Bereitstellungsabonnements und die Rolle "Leser" für alle Abonnements zugewiesen werden, die das relevante Projekt enthalten. Wenn ein Benutzer eine Umgebung erstellt oder bereitstellt, gewährt der Dienst dem Projektumgebungstyp den entsprechenden Zugriff auf die Bereitstellungsidentität, die dem Projektumgebungstyp zugeordnet ist. Die Bereitstellungsidentität verwendet den Zugriff, um Bereitstellungen im Namen des Benutzers bzw. der Benutzerin durchzuführen. Sie können die verwaltete Identität verwenden, um Entwickler*innen das Erstellen von Umgebungen zu ermöglichen, ohne ihnen Zugriff auf das Abonnement zu gewähren.

Hinzufügen einer Rollenzuweisung zu einer systemseitig zugewiesenen verwalteten Identität

  1. Navigieren Sie im Azure-Portal zu Ihrem Dev Center in Azure-Bereitstellungsumgebungen.

  2. Wählen Sie im linken Menü unter Einstellungen "Identität" aus.

  3. Wählen Sie unter Systemseitig zugewiesen>Berechtigungendie Option Azure-Rollenzuweisungen aus.

    Screenshot that shows the Azure role assignment for system-assigned identity.

  4. Um den Zugriff „Mitwirkender“ auf das Abonnement zu gewähren, wählen Sie Rollenzuweisung hinzufügen (Vorschau) aus, geben die folgenden Informationen ein oder wählen sie aus, und wählen Sie dann Speichern:

    Name Wert
    Umfang Subscription
    Abonnement Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll.
    Rolle Mitwirkender

  5. Um den Zugriff „Benutzerzugriffsadministrator“ auf das Abonnement zu gewähren, wählen Sie Rollenzuweisung hinzufügen (Vorschau) aus, geben die folgenden Informationen ein oder wählen sie aus, und wählen Sie dann Speichern:

    Name Wert
    Umfang Subscription
    Abonnement Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll.
    Rolle Benutzerzugriffsadministrator

Hinzufügen einer Rollenzuweisung zu einer benutzerseitig zugewiesenen verwalteten Identität

  1. Navigieren Sie im Azure-Portal zu Ihrem Dev Center.

  2. Wählen Sie im linken Menü unter Einstellungen "Identität" aus.

  3. Wählen Sie unter Benutzerseitig zugewiesen die Identität aus.

  4. Wählen Sie im linken Menü Azure-Rollenzuweisungen aus.

  5. Um den Zugriff „Mitwirkender“ auf das Abonnement zu gewähren, wählen Sie Rollenzuweisung hinzufügen (Vorschau) aus, geben die folgenden Informationen ein oder wählen sie aus, und wählen Sie dann Speichern:

    Name Wert
    Umfang Subscription
    Abonnement Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll.
    Rolle Mitwirkender

  6. Um den Zugriff „Benutzerzugriffsadministrator“ auf das Abonnement zu gewähren, wählen Sie Rollenzuweisung hinzufügen (Vorschau) aus, geben die folgenden Informationen ein oder wählen sie aus, und wählen Sie dann Speichern:

    Name Wert
    Umfang Subscription
    Abonnement Wählen Sie das Abonnement aus, in dem die verwaltete Identität verwendet werden soll.
    Rolle Benutzerzugriffsadministrator

Gewähren des Zugriffs der verwalteten Identität auf das Schlüsseltresorgeheimnis

Sie können Ihren Schlüsseltresor einrichten, um entweder eine Zugriffsrichtlinie für den Schlüsseltresor oder die rollenbasierte Zugriffssteuerung von Azure zu verwenden.

Hinweis

Bevor Sie ein Repository als Katalog hinzufügen können, müssen Sie der verwalteten Identität Zugriff auf den Schlüsseltresorschlüssel gewähren, der das persönliche Zugriffstoken des Repositorys enthält.

Key Vault-Zugriffsrichtlinie

Wenn der Schlüsseltresor für die Verwendung einer Schlüsseltresor-Zugriffsrichtlinie konfiguriert ist:

  1. Wechseln Sie im Azure-Portal zum Schlüsseltresor, der das Geheimnis mit dem persönlichen Zugriffstoken enthält.

  2. Wählen Sie im linken Menü Access-Richtlinien und dann " Erstellen" aus.

  3. Geben Sie beim Erstellen einer Zugriffsrichtlinie die folgenden Informationen ein, oder wählen Sie sie aus:

    1. Aktivieren Sie auf der Registerkarte Berechtigungen unter Berechtigungen für Geheimnis das Kontrollkästchen Abrufen, und wählen Sie dann Weiter aus.
    2. Wählen Sie auf der Registerkarte Prinzipal die Identität aus, die an das Dev Center angefügt ist.
    3. Klicken Sie auf Überprüfen und erstellen und dann auf Erstellen.

Rollenbasierte Zugriffssteuerung in Azure

Wenn der Schlüsseltresor so konfiguriert ist, dass die rollenbasierte Azure-Zugriffssteuerung verwendet wird:

  1. Wechseln Sie im Azure-Portal zum Schlüsseltresor, der das Geheimnis mit dem persönlichen Zugriffstoken enthält.

  2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.

  3. Wählen Sie die Identität aus, und wählen Sie im linken Menü die Option Azure-Rollenzuweisungen aus.

  4. Wählen Sie Rollenzuweisung hinzufügen aus, und geben Sie dann die folgenden Informationen ein, oder wählen Sie sie aus:

    1. Wählen Sie für "Bereich" den Schlüsseltresor aus.
    2. Wählen Sie für Abonnement das Abonnement aus, das den Schlüsseltresor enthält.
    3. Wählen Sie für "Ressource" den Schlüsseltresor aus.
    4. Wählen Sie für "Rolle" die Option "Schlüsseltresorschlüsselbenutzer" aus.
    5. Wählen Sie Speichern.

Zugehöriger Inhalt