Uso de identidades administradas para Azure App Configuration

En este tema se muestra cómo crear una identidad administrada para Azure App Configuration. Una identidad administrada de Azure Active Directory (AAD) permite a Azure App Configuration acceder fácilmente a otros recursos protegidos por AAD, como Azure Key Vault. La plataforma de Azure administra la identidad. No es necesario que aprovisione ni rote ningún secreto. Para más información sobre las identidades administradas en AAD, consulte Identidades administradas para recursos de Azure.

La aplicación puede tener dos tipos de identidades:

  • Una identidad asignada por el sistema está asociada al almacén de configuración. Se elimina si se elimina el almacén de configuración. Un almacén de configuración solo puede tener una identidad asignada por el sistema.
  • Una identidad asignada por el usuario es un recurso de Azure independiente que se puede asignar al almacén de configuración. Un almacén de configuración puede tener varias identidades asignadas por el usuario.

Adición de una identidad asignada por el sistema

Para crear un almacén de App Configuration con una identidad asignada por el sistema se requiere establecer una propiedad adicional en el almacén.

Uso de la CLI de Azure

Para configurar una identidad administrada mediante la CLI de Azure, use el comando az appconfig identity assign en un almacén de configuración existente. Tiene tres opciones para ejecutar los ejemplos de esta sección:

Los siguientes pasos le guiarán en la creación de un almacén de App Configuration y la asignación al mismo de una identidad mediante la CLI:

  1. Si usa la CLI de Azure en una consola local, lo primero que debe hacer es iniciar sesión en Azure mediante el inicio de sesión de az. Utilice una cuenta asociada a su suscripción de Azure:

    az login
    
  2. Cree un almacén de App Configuration mediante la CLI. Para más ejemplos sobre cómo usar la CLI con Azure App Configuration, consulte Ejemplos de la CLI de App Configuration:

    az group create --name myResourceGroup --location eastus
    az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
    
  3. Ejecute el comando az appconfig identity assign para crear la identidad asignada por el sistema para este almacén de configuración:

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup
    

Adición de una identidad asignada por el usuario

La creación de un almacén de App Configuration con una identidad asignada por el usuario requiere que se cree la identidad y luego se asigne su identificador de recurso al almacén.

Uso de la CLI de Azure

Para configurar una identidad administrada mediante la CLI de Azure, use el comando az appconfig identity assign en un almacén de configuración existente. Tiene tres opciones para ejecutar los ejemplos de esta sección:

Los pasos siguientes le guiarán en la creación de una identidad asignada por el usuario y un almacén de App Configuration y la asignación de la identidad al almacén mediante la CLI:

  1. Si usa la CLI de Azure en una consola local, lo primero que debe hacer es iniciar sesión en Azure mediante el inicio de sesión de az. Utilice una cuenta asociada a su suscripción de Azure:

    az login
    
  2. Cree un almacén de App Configuration mediante la CLI. Para más ejemplos sobre cómo usar la CLI con Azure App Configuration, consulte Ejemplos de la CLI de App Configuration:

    az group create --name myResourceGroup --location eastus
    az appconfig create --name myTestAppConfigStore --location eastus --resource-group myResourceGroup --sku Free
    
  3. Cree una identidad asignada por el usuario llamada myUserAssignedIdentity mediante la CLI.

    az identity create -resource-group myResourceGroup --name myUserAssignedIdentity
    

    Anote el valor de la propiedad id de la salida de este comando.

  4. Ejecute el comando az appconfig identity assign para asignar la nueva identidad asignada por el usuario a este almacén de configuración. Use el valor de la propiedad id que anotó en el paso anterior.

    az appconfig identity assign --name myTestAppConfigStore --resource-group myResourceGroup --identities /subscriptions/[subscription id]/resourcegroups/myResourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUserAssignedIdentity
    

Eliminación una identidad

Una identidad asignada por el sistema se puede eliminar; para ello, deshabilite la característica mediante el comando az appconfig identity remove de la CLI de Azure. Las identidades asignadas por el usuario se pueden quitar individualmente. Al quitar una identidad asignada por el sistema de esta manera también se eliminará de AAD. Las identidades asignadas por el sistema también se quitan automáticamente de AAD cuando se elimina el recurso de la aplicación.

Pasos siguientes