Nejčastější dotazy a známé problémy se spravovanými identitami pro prostředky AzureFAQs and known issues with managed identities for Azure resources

Spravované identity pro prostředky Azure jsou funkcí služby Azure Active Directory.Managed identities for Azure resources is a feature of Azure Active Directory. Každá ze služeb Azure, které podporují spravované identity pro prostředky Azure, se řídí vlastní časovou osou.Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Než začnete, nezapomeňte zkontrolovat stav dostupnosti spravovaných identit pro váš prostředek a známé problémy.Make sure you review the availability status of managed identities for your resource and known issues before you begin.

Nejčastější dotazyFrequently Asked Questions (FAQs)

Poznámka

Spravované identity prostředků Azure jsou novým názvem služby, která se dříve jmenovala Identita spravované služby (MSI).Managed identities for Azure resources is the new name for the service formerly known as Managed Service Identity (MSI).

Pracují spravované identity prostředků Azure se službou Azure Cloud Services?Does managed identities for Azure resources work with Azure Cloud Services?

Ne, neexistují žádné plány na podporu spravovaných identit pro prostředky Azure v Azure Cloud Services.No, there are no plans to support managed identities for Azure resources in Azure Cloud Services.

Pracují spravované identity prostředků Azure pomocí Active Directory Authentication Library (ADAL) nebo knihovny Microsoft Authentication Library (MSAL)?Does managed identities for Azure resources work with the Active Directory Authentication Library (ADAL) or the Microsoft Authentication Library (MSAL)?

Ne, spravované identity pro prostředky Azure ještě nejsou integrované s ADAL nebo MSAL.No, managed identities for Azure resources is not yet integrated with ADAL or MSAL. Podrobnosti o získání tokenu pro spravované identity pro prostředky Azure pomocí koncového bodu REST najdete v tématu Jak používat spravované identity pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.For details on acquiring a token for managed identities for Azure resources using the REST endpoint, see How to use managed identities for Azure resources on an Azure VM to acquire an access token.

Jaká je hranice zabezpečení spravovaných identit pro prostředky Azure?What is the security boundary of managed identities for Azure resources?

Hranice zabezpečení identity je prostředek, ke kterému je připojen.The security boundary of the identity is the resource to which it is attached to. Například hranice zabezpečení pro virtuální počítač se spravovanými identitami pro prostředky Azure je virtuální počítač.For example, the security boundary for a Virtual Machine with managed identities for Azure resources enabled, is the Virtual Machine. Jakýkoli kód běžící na tomto virtuálním počítači může volat spravované identity pro koncový bod prostředků Azure a žádat tokeny.Any code running on that VM, is able to call the managed identities for Azure resources endpoint and request tokens. Podobně jako u jiných prostředků, které podporují spravované identity prostředků Azure, se jedná o podobné prostředí.It is the similar experience with other resources that support managed identities for Azure resources.

Jakou identitu bude IMDS výchozí, pokud nezadáte identitu v žádosti?What identity will IMDS default to if don't specify the identity in the request?

  • Pokud je povolená spravovaná identita přiřazená systémem a v požadavku není zadaná žádná identita, IMDS se použije jako výchozí pro spravovanou identitu přiřazenou systémem.If system assigned managed identity is enabled and no identity is specified in the request, IMDS will default to the system assigned managed identity.
  • Pokud není povolená spravovaná identita přiřazená systémem a existuje jenom jedna spravovaná identita přiřazená uživatelem, IMDS se použije jako výchozí pro tento jediný uživatel přiřazenou spravovanou identitu.If system assigned managed identity is not enabled, and only one user assigned managed identity exists, IMDS will default to that single user assigned managed identity.
  • Pokud není povolená spravovaná identita přiřazená systémem a existuje víc spravovaných identit přiřazených uživateli, pak se vyžaduje určení spravované identity v žádosti.If system assigned managed identity is not enabled, and multiple user assigned managed identities exist, then specifying a managed identity in the request is required.

Mám použít spravované identity pro Azure Resources IMDS nebo koncový bod rozšíření virtuálních počítačů?Should I use the managed identities for Azure resources IMDS endpoint or the VM extension endpoint?

Pokud používáte spravované identity pro prostředky Azure s virtuálními počítači, doporučujeme použít koncový bod IMDS.When using managed identities for Azure resources with VMs, we recommend using the IMDS endpoint. Azure Instance Metadata Service je koncový bod REST dostupný všem virtuálním počítačům s IaaS vytvořeným prostřednictvím Azure Resource Manager.The Azure Instance Metadata Service is a REST Endpoint accessible to all IaaS VMs created via the Azure Resource Manager.

Mezi výhody použití spravovaných identit pro prostředky Azure přes IMDS patří:Some of the benefits of using managed identities for Azure resources over IMDS are:

  • Všechny podporované operační systémy Azure IaaS můžou používat spravované identity pro prostředky Azure prostřednictvím IMDS.All Azure IaaS supported operating systems can use managed identities for Azure resources over IMDS.
  • Už nemusíte instalovat rozšíření na VIRTUÁLNÍm počítači, aby se povolily spravované identity pro prostředky Azure.No longer need to install an extension on your VM to enable managed identities for Azure resources.
  • Certifikáty používané spravovanými identitami pro prostředky Azure už ve virtuálním počítači nejsou.The certificates used by managed identities for Azure resources are no longer present in the VM.
  • Koncový bod IMDS je dobře známá IP adresa, která není směrovatelný, dostupná jenom v rámci virtuálního počítače.The IMDS endpoint is a well-known non-routable IP address, only available from within the VM.
  • k jednomu virtuálnímu počítači se dají přiřadit 1000 uživatelsky přiřazených spravovaných identit.1000 user-assigned managed identities can be assigned to a single VM.

Rozšíření spravované identity pro prostředky Azure Resources je stále k dispozici; už ale nevyvíjíme nové funkce.The managed identities for Azure resources VM extension is still available; however, we are no longer developing new functionality on it. Doporučujeme, abyste přepnuli na použití koncového bodu IMDS.We recommend switching to use the IMDS endpoint.

Některá omezení používání koncového bodu rozšíření virtuálních počítačů jsou:Some of the limitations of using the VM extension endpoint are:

  • Omezená podpora distribucí pro Linux: CoreOS stabilní, CentOS 7,1, Red Hat 7,2, Ubuntu 15,04, Ubuntu 16,04Limited support for Linux distributions: CoreOS Stable, CentOS 7.1, Red Hat 7.2, Ubuntu 15.04, Ubuntu 16.04
  • K virtuálnímu počítači se dají přiřadit jenom 32 spravované identity přiřazené uživateli.Only 32 user-assigned managed identities can be assigned to the VM.

Poznámka: Rozšíření spravované identity pro prostředky Azure Resources v lednu 2019 nebude podporovat.Note: The managed identities for Azure resources VM extension will be out of support in January 2019.

Další informace o Azure Instance Metadata Service najdete v dokumentaci k IMDS .For more information on Azure Instance Metadata Service, see IMDS documentation

Budou spravované identity znovu automaticky vytvořeny při přesunu předplatného do jiného adresáře?Will managed identities be recreated automatically if I move a subscription to another directory?

Ne.No. Pokud přesunete předplatné do jiného adresáře, budete ho muset ručně znovu vytvořit a znovu udělit přiřazení role Azure RBAC.If you move a subscription to another directory, you will have to manually re-create them and grant Azure RBAC role assignments again.

  • Pro spravované identity přiřazené systémem: zakažte a znovu povolte.For system assigned managed identities: disable and re-enable.
  • Pro spravované identity přiřazené uživateli: Odstraňte, znovu ho vytvořte a znovu připojte k potřebným prostředkům (např. virtuální počítače).For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Můžu použít spravovanou identitu pro přístup k prostředkům v jiném adresáři nebo tenantovi?Can I use a managed identity to access a resource in a different directory/tenant?

Ne.No. Spravované identity v současné době nepodporují scénáře pro více adresářů.Managed identities do not currently support cross-directory scenarios.

Jaká oprávnění Azure RBAC jsou vyžadována pro spravovanou identitu prostředku?What Azure RBAC permissions are required to managed identity on a resource?

  • Spravovaná identita přiřazená systémem: K prostředku budete potřebovat oprávnění k zápisu.System-assigned managed identity: You need write permissions over the resource. Například pro virtuální počítače potřebujete Microsoft. COMPUTE/virtualMachines/Write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Tato akce je zahrnutá v předdefinovaných rolích specifických pro prostředky, jako je Přispěvatel virtuálních počítačů.This action is included in resource specific built-in roles like Virtual Machine Contributor.
  • Spravovaná identita přiřazená uživatelem: K prostředku budete potřebovat oprávnění k zápisu.User-assigned managed identity: You need write permissions over the resource. Například pro virtuální počítače potřebujete Microsoft. COMPUTE/virtualMachines/Write.For example, for virtual machines you need Microsoft.Compute/virtualMachines/write. Kromě spravované identity se přiřazení role operátora identity .In addition to Managed Identity Operator role assignment over the managed identity.

Jak restartujete spravované identity pro rozšíření prostředků Azure?How do you restart the managed identities for Azure resources extension?

Pokud se rozšíření zastaví na Windows a určitých verzích Linux, dá se k ručnímu restartování použít následující rutina:On Windows and certain versions of Linux, if the extension stops, the following cmdlet may be used to manually restart it:

Set-AzVMExtension -Name <extension name>  -Type <extension Type>  -Location <location> -Publisher Microsoft.ManagedIdentity -VMName <vm name> -ResourceGroupName <resource group name> -ForceRerun <Any string different from any last value used>

Kde:Where:

  • Název a typ rozšíření pro Windows: ManagedIdentityExtensionForWindowsExtension name and type for Windows is: ManagedIdentityExtensionForWindows
  • Název a typ rozšíření pro Linux: ManagedIdentityExtensionForLinuxExtension name and type for Linux is: ManagedIdentityExtensionForLinux

Známé problémyKnown issues

Při pokusu o export schématu pro spravované identity pro rozšíření prostředků Azure dojde k chybě skriptu služby Automation."Automation script" fails when attempting schema export for managed identities for Azure resources extension

Pokud jsou na virtuálním počítači povolené spravované identity prostředků Azure, při pokusu o použití funkce skript Automation pro virtuální počítač nebo jeho skupiny prostředků se zobrazí následující chyba:When managed identities for Azure resources is enabled on a VM, the following error is shown when attempting to use the “Automation script” feature for the VM, or its resource group:

Spravované identity pro Azure Resources Automation – chyba exportu skriptu

Rozšíření virtuálních počítačů spravovaných identit pro prostředky Azure (naplánované pro vyřazení v lednu 2019) v současné době nepodporuje možnost exportu schématu do šablony skupiny prostředků.The managed identities for Azure resources VM extension (planned for deprecation in January 2019) does not currently support the ability to export its schema to a resource group template. V důsledku toho vygenerovaná šablona nezobrazuje parametry konfigurace umožňující spravované identity prostředků Azure v prostředku.As a result, the generated template does not show configuration parameters to enable managed identities for Azure resources on the resource. Tyto oddíly můžete přidat ručně podle příkladů v části Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí šablon.These sections can be added manually by following the examples in Configure managed identities for Azure resources on an Azure VM using a templates.

Jakmile budou k dispozici funkce exportu schématu pro rozšíření spravované identity pro prostředky Azure Resources (plánováno pro vyřazení do ledna 2019), bude se zobrazovat v části Export skupin prostředků, které obsahují rozšíření virtuálních počítačů.When the schema export functionality becomes available for the managed identities for Azure resources VM extension (planned for deprecation in January 2019), it will be listed in Exporting Resource Groups that contain VM extensions.

Spuštění virtuálního počítače po přesunutí ze skupiny prostředků nebo předplatného se nezdařilo.VM fails to start after being moved from resource group or subscription

Pokud virtuální počítač přesunete do běžícího stavu, během přesunu se i nadále spustí.If you move a VM in the running state, it continues to run during the move. Pokud se ale virtuální počítač zastaví a restartuje, po přesunutí se jeho spuštění nezdaří.However, after the move, if the VM is stopped and restarted, it will fail to start. K tomuto problému dochází, protože virtuální počítač neaktualizuje odkaz na spravované identity pro prostředky prostředků Azure a i nadále odkazuje na něj ve staré skupině prostředků.This issue happens because the VM is not updating the reference to the managed identities for Azure resources identity and continues to point to it in the old resource group.

Alternativní řešeníWorkaround

Aktivujte na virtuálním počítači aktualizaci, aby mohla získat správné hodnoty pro spravované identity prostředků Azure.Trigger an update on the VM so it can get correct values for the managed identities for Azure resources. Změnou vlastnosti virtuálního počítače můžete aktualizovat odkaz na spravované identity pro identitu prostředků Azure.You can do a VM property change to update the reference to the managed identities for Azure resources identity. Můžete například nastavit novou hodnotu značky na virtuálním počítači pomocí následujícího příkazu:For example, you can set a new tag value on the VM with the following command:

 az  vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1

Tento příkaz nastaví novou značku "fixVM" s hodnotou 1 na virtuálním počítači.This command sets a new tag "fixVM" with a value of 1 on the VM.

Nastavením této vlastnosti se virtuální počítač aktualizuje se správnými spravovanými identitami pro identifikátor URI prostředku prostředků Azure a pak byste měli být schopni virtuální počítač spustit.By setting this property, the VM updates with the correct managed identities for Azure resources resource URI, and then you should be able to start the VM.

Po spuštění virtuálního počítače se dá značku odebrat pomocí následujícího příkazu:Once the VM is started, the tag can be removed by using following command:

az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM

Zřizování rozšíření virtuálního počítače se nezdařiloVM extension provisioning fails

Zřizování rozšíření virtuálního počítače může selhat kvůli selhání vyhledávání DNS.Provisioning of the VM extension might fail due to DNS lookup failures. Restartujte virtuální počítač a zkuste to znovu.Restart the VM, and try again.

Poznámka

Rozšíření virtuálního počítače se plánuje pro vyřazení do ledna 2019.The VM extension is planned for deprecation by January 2019. Doporučujeme, abyste se přesunuli na použití koncového bodu IMDS.We recommend you move to using the IMDS endpoint.

Převod předplatného mezi adresáři služby Azure ADTransferring a subscription between Azure AD directories

Spravované identity se při přesunu nebo přenosu předplatného do jiného adresáře neaktualizují.Managed identities do not get updated when a subscription is moved/transferred to another directory. V důsledku toho budou přerušeny všechny existující spravované identity přiřazené systémem nebo uživatelem.As a result, any existent system-assigned or user-assigned managed identities will be broken.

Alternativní řešení pro spravované identity v předplatném, které se přesunulo do jiného adresáře:Workaround for managed identities in a subscription that has been moved to another directory:

  • Pro spravované identity přiřazené systémem: zakažte a znovu povolte.For system assigned managed identities: disable and re-enable.
  • Pro spravované identity přiřazené uživateli: Odstraňte, znovu ho vytvořte a znovu připojte k potřebným prostředkům (např. virtuální počítače).For user assigned managed identities: delete, re-create and attach them again to the necessary resources (e.g. virtual machines)

Přesunutí spravované identity přiřazené uživatelem do jiné skupiny prostředků nebo předplatnéhoMoving a user-assigned managed identity to a different resource group/subscription

Přesunutím spravované identity přiřazené uživatelem do jiné skupiny prostředků dojde k přerušení identity.Moving a user-assigned managed identity to a different resource group will cause the identity to break. V důsledku toho prostředky (např. virtuální počítač) používající tuto identitu nebudou moci žádat o tokeny.As a result, resources (e.g. VM) using that identity will not be able to request tokens for it.