Comment utiliser une identité managée avec Azure Container InstancesHow to use managed identities with Azure Container Instances

Utilisez les identités managées pour les ressources Azure pour exécuter du code dans Azure Container Instances interagissant avec d’autres services Azure, et ce sans avoir à gérer les codes secrets ou les informations d’identification dans le code.Use managed identities for Azure resources to run code in Azure Container Instances that interacts with other Azure services - without maintaining any secrets or credentials in code. Cette fonctionnalité fournit un déploiement Azure Container Instances avec une identité managée automatiquement dans Azure Active Directory.The feature provides an Azure Container Instances deployment with an automatically managed identity in Azure Active Directory.

Dans cet article, vous en apprendrez davantage sur les identités managées dans Azure Container Instances, et vous découvrirez comment :In this article, you learn more about managed identities in Azure Container Instances and:

  • Activer une identité attribuée par l’utilisateur ou par le système dans un groupe de conteneursEnable a user-assigned or system-assigned identity in a container group
  • Autoriser l’identité à accéder à un coffre de clés AzureGrant the identity access to an Azure key vault
  • Utiliser l’identité managée pour accéder à un coffre de clés à partir d’un conteneur en cours d’exécutionUse the managed identity to access a key vault from a running container

Adaptez les exemples pour activer et utiliser des identités dans Azure Container Instances pour accéder aux autres services Azure.Adapt the examples to enable and use identities in Azure Container Instances to access other Azure services. Ces exemples sont interactifs.These examples are interactive. Toutefois, en pratique, vos images de conteneur exécuteraient du code pour accéder aux services Azure.However, in practice your container images would run code to access Azure services.

Important

Actuellement, cette fonctionnalité est uniquement disponible en tant que version préliminaire.This feature is currently in preview. Les préversions sont à votre disposition, à condition que vous acceptiez les conditions d’utilisation supplémentaires.Previews are made available to you on the condition that you agree to the supplemental terms of use. Certains aspects de cette fonctionnalité sont susceptibles d’être modifiés avant la mise à disposition générale.Some aspects of this feature may change prior to general availability (GA). Actuellement, les identités managées sur Azure Container Instances sont uniquement prises en charge avec des conteneurs Linux, mais pas encore avec des conteneurs Windows.Currently, managed identities on Azure Container Instances, are only supported with Linux containers and not yet with Windows containers.

Pourquoi utiliser une identité managée ?Why use a managed identity?

Utilisez une identité managée dans un conteneur en cours d’exécution pour vous authentifier sur n’importe quel service prenant en charge l’authentification Azure AD, sans avoir à gérer les informations d’identification dans le code de votre conteneur.Use a managed identity in a running container to authenticate to any service that supports Azure AD authentication without managing credentials in your container code. Pour les services qui ne prennent pas en charge l’authentification AD, vous pouvez stocker des codes secrets dans un coffre de clés Azure et utiliser l’identité managée pour accéder à celui-ci afin de récupérer les informations d’identification.For services that don't support AD authentication, you can store secrets in an Azure key vault and use the managed identity to access the key vault to retrieve credentials. Pour en savoir plus sur l’utilisation des identités managées, consultez la section Que sont les identités managées pour les ressources Azure ?For more information about using a managed identity, see What is managed identities for Azure resources?

Activer une identité managéeEnable a managed identity

Lorsque vous créez un groupe de conteneurs, activez une ou plusieurs identités managées en définissant une propriété ContainerGroupIdentity.When you create a container group, enable one or more managed identities by setting a ContainerGroupIdentity property. Vous pouvez également activer ou mettre à jour des identités managées après l’exécution d’un groupe de conteneurs. Les deux actions entraînent le redémarrage du groupe de conteneurs.You can also enable or update managed identities after a container group is running - either action causes the container group to restart. Pour définir les identités sur un nouveau groupe de conteneurs ou sur un groupe existant, utilisez Azure CLI, un modèle Resource Manager, un fichier YAML ou un autre outil Azure.To set the identities on a new or existing container group, use the Azure CLI, a Resource Manager template, a YAML file, or another Azure tool.

Azure Container Instances prend en charge les deux types d’identités Azure managées : attribuées par l’utilisateur et attribuées par le système.Azure Container Instances supports both types of managed Azure identities: user-assigned and system-assigned. Sur un groupe de conteneurs, vous pouvez activer une identité attribuée par le système, une ou plusieurs identités attribuées par l’utilisateur, ou les deux types d’identités.On a container group, you can enable a system-assigned identity, one or more user-assigned identities, or both types of identities. Si vous n’êtes pas familiarisé avec les identités managées pour les ressources Azure, consultez la présentation.If you're unfamiliar with managed identities for Azure resources, see the overview.

Utiliser une identité managéeUse a managed identity

Pour utiliser une identité managée, l’identité doit être autorisée à accéder à une ou plusieurs ressources de service Azure (par exemple, une application web, un coffre de clés ou un compte de stockage) dans l’abonnement.To use a managed identity, the identity must be granted access to one or more Azure service resources (such as a web app, a key vault, or a storage account) in the subscription. L’utilisation d’une identité managée dans un conteneur en cours d’exécution est semblable à l’utilisation d’une identité dans une machine virtuelle Azure.Using a managed identity in a running container is similar to using an identity in an Azure VM. Consultez l’aide relative aux machines virtuelles pour en savoir plus sur l’utilisation d’un jeton, d’Azure PowerShell ou Azure CLI, ou des kits de développement logiciel Azure.See the VM guidance for using a token, Azure PowerShell or Azure CLI, or the Azure SDKs.

LimitesLimitations

  • Actuellement, vous ne pouvez pas utiliser d’identité managée dans un groupe de conteneurs déployé sur un réseau virtuel.Currently you can't use a managed identity in a container group deployed to a virtual network.
  • Vous ne pouvez pas utiliser d’identité managée pour extraire une image d’Azure Container Registry lors de la création d’un groupe de conteneurs.You can't use a managed identity to pull an image from Azure Container Registry when creating a container group. L’identité est disponible uniquement dans un conteneur en cours d’exécution.The identity is only available within a running container.

Utiliser Azure Cloud ShellUse Azure Cloud Shell

Azure héberge Azure Cloud Shell, un environnement d’interpréteur de commandes interactif que vous pouvez utiliser dans votre navigateur.Azure hosts Azure Cloud Shell, an interactive shell environment that you can use through your browser. Vous pouvez utiliser Bash ou PowerShell avec Cloud Shell pour utiliser les services Azure.You can use either Bash or PowerShell with Cloud Shell to work with Azure services. Vous pouvez utiliser les commandes préinstallées Cloud Shell pour exécuter le code de cet article sans avoir à installer quoi que ce soit dans votre environnement local.You can use the Cloud Shell preinstalled commands to run the code in this article without having to install anything on your local environment.

Pour démarrer Azure Cloud Shell :To start Azure Cloud Shell:

OptionOption Exemple/LienExample/Link
Sélectionnez Essayer dans le coin supérieur droit d’un bloc de code.Select Try It in the upper-right corner of a code block. La sélection de Essayer ne copie pas automatiquement le code dans Cloud Shell.Selecting Try It doesn't automatically copy the code to Cloud Shell. Exemple Essayer pour Azure Cloud Shell
Accédez à https://shell.azure.com ou sélectionnez le bouton Lancer Cloud Shell pour ouvrir Cloud Shell dans votre navigateur.Go to https://shell.azure.com, or select the Launch Cloud Shell button to open Cloud Shell in your browser. Lancer Cloud Shell dans une nouvelle fenêtreLaunch Cloud Shell in a new window
Sélectionnez le bouton Cloud Shell dans la barre de menus en haut à droite du portail Azure.Select the Cloud Shell button on the menu bar at the upper right in the Azure portal. Bouton Cloud Shell du portail Azure

Pour exécuter le code de cet article dans Azure Cloud Shell :To run the code in this article in Azure Cloud Shell:

  1. Démarrez Cloud Shell.Start Cloud Shell.

  2. Sélectionnez le bouton Copier dans un bloc de code pour copier le code.Select the Copy button on a code block to copy the code.

  3. Collez le code dans la session Cloud Shell en sélectionnant Ctrl+Maj+V sur Windows et Linux, ou en sélectionnant Cmd+Maj+V sur macOS.Paste the code into the Cloud Shell session by selecting Ctrl+Shift+V on Windows and Linux or by selecting Cmd+Shift+V on macOS.

  4. Sélectionnez Entrée pour exécuter le code.Select Enter to run the code.

Si vous choisissez d’installer et d’utiliser l’interface CLI localement, cet article vous demande d’exécuter Azure CLI version 2.0.49 ou ultérieure.If you choose to install and use the CLI locally, this article requires that you are running the Azure CLI version 2.0.49 or later. Exécutez az --version pour trouver la version.Run az --version to find the version. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.If you need to install or upgrade, see Install Azure CLI.

Créer un coffre de clés AzureCreate an Azure key vault

Les exemples présentés dans cet article utilisent une identité managée dans Azure Container Instances pour accéder à un code secret du coffre de clés Azure.The examples in this article use a managed identity in Azure Container Instances to access an Azure key vault secret.

Commencez par créer un groupe de ressources nommé myResourceGroup à l’emplacement eastus à l’aide de la commande az group create suivante :First, create a resource group named myResourceGroup in the eastus location with the following az group create command:

az group create --name myResourceGroup --location eastus

Utilisez la commande az keyvault create pour créer un coffre de clés.Use the az keyvault create command to create a key vault. Veillez à spécifier un nom de coffre de clés unique.Be sure to specify a unique key vault name.

az keyvault create \
  --name mykeyvault \
  --resource-group myResourceGroup \ 
  --location eastus

Stockez un exemple de secret dans le coffre de clés à l’aide de la commande az keyvault secret set :Store a sample secret in the key vault using the az keyvault secret set command:

az keyvault secret set \
  --name SampleSecret \
  --value "Hello Container Instances" \
  --description ACIsecret --vault-name mykeyvault

Utilisez les exemples suivants pour accéder au coffre de clés à l’aide d’une identité managée attribuée par l’utilisateur ou par le système dans Azure Container Instances.Continue with the following examples to access the key vault using either a user-assigned or system-assigned managed identity in Azure Container Instances.

Exemple 1 : Utiliser une identité attribuée par l’utilisateur pour accéder au coffre de clés AzureExample 1: Use a user-assigned identity to access Azure key vault

Créer une identitéCreate an identity

Créez d’abord une identité dans votre abonnement à l’aide de la commande az identity create.First create an identity in your subscription using the az identity create command. Vous pouvez utiliser le groupe de ressources utilisé pour créer le coffre de clés, ou en utiliser un autre.You can use the same resource group used to create the key vault, or use a different one.

az identity create \
  --resource-group myResourceGroup \
  --name myACIId

Pour utiliser l’identité dans les étapes suivantes, utilisez la commande az identity show pour stocker l’ID de principal de service et l’ID de ressource de l’identité dans des variables.To use the identity in the following steps, use the az identity show command to store the identity's service principal ID and resource ID in variables.

# Get service principal ID of the user-assigned identity
spID=$(az identity show \
  --resource-group myResourceGroup \
  --name myACIId \
  --query principalId --output tsv)

# Get resource ID of the user-assigned identity
resourceID=$(az identity show \
  --resource-group myResourceGroup \
  --name myACIId \
  --query id --output tsv)

Autoriser l’identité attribuée par l’utilisateur à accéder au coffre de clésGrant user-assigned identity access to the key vault

Exécutez la commande az keyvault set-policy suivante pour définir une stratégie d’accès sur le coffre de clés.Run the following az keyvault set-policy command to set an access policy on the key vault. L’exemple suivant permet à l’identité affectée par l’utilisateur d’obtenir des secrets du coffre de clés :The following example allows the user-assigned identity to get secrets from the key vault:

 az keyvault set-policy \
    --name mykeyvault \
    --resource-group myResourceGroup \
    --object-id $spID \
    --secret-permissions get

Activer une identité attribuée par l’utilisateur dans un groupe de conteneursEnable user-assigned identity on a container group

Exécutez la commande az container create suivante pour créer une instance de conteneur basée sur une image azure-cli de Microsoft.Run the following az container create command to create a container instance based on Microsoft's azure-cli image. Cet exemple fournit un groupe contenant un seul conteneur que vous pouvez utiliser de manière interactive pour accéder à d’autres services Azure.This example provides a single-container group that you can use interactively to run the Azure CLI to access other Azure services. Dans cette section, seul le système d’exploitation de base est utilisé.In this section, only the base operating system is used. Pour obtenir un exemple d’utilisation d’Azure CLI dans le conteneur, consultez Activer l’identité attribuée par le système sur un groupe de conteneurs.For an example to use the Azure CLI in the container, see Enable system-assigned identity on a container group.

Le paramètre --assign-identity passe votre identité managée attribuée par l’utilisateur au groupe.The --assign-identity parameter passes your user-assigned managed identity to the group. Cette commande longue laisse le conteneur s’exécuter.The long-running command keeps the container running. Cet exemple utilise le groupe de ressources utilisé pour créer le coffre de clés, mais vous pouvez en spécifier un autre.This example uses the same resource group used to create the key vault, but you could specify a different one.

az container create \
  --resource-group myResourceGroup \
  --name mycontainer \
  --image mcr.microsoft.com/azure-cli \
  --assign-identity $resourceID \
  --command-line "tail -f /dev/null"

Après quelques secondes, vous devez recevoir une réponse d’Azure CLI indiquant que le déploiement est terminé.Within a few seconds, you should get a response from the Azure CLI indicating that the deployment has completed. Vérifiez son état à l’aide de la commande az container show.Check its status with the az container show command.

az container show \
  --resource-group myResourceGroup \
  --name mycontainer

La section identity de la sortie ressemble à ce qui suit, elle montre la définition de l’identité dans le groupe de conteneurs.The identity section in the output looks similar to the following, showing the identity is set in the container group. La valeur principalID sous userAssignedIdentities correspond au principal de service de l’identité que vous avez créée dans Azure Active Directory :The principalID under userAssignedIdentities is the service principal of the identity you created in Azure Active Directory:

[...]
"identity": {
    "principalId": "null",
    "tenantId": "xxxxxxxx-f292-4e60-9122-xxxxxxxxxxxx",
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/xxxxxxxx-0903-4b79-a55a-xxxxxxxxxxxx/resourcegroups/danlep1018/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACIId": {
        "clientId": "xxxxxxxx-5523-45fc-9f49-xxxxxxxxxxxx",
        "principalId": "xxxxxxxx-f25b-4895-b828-xxxxxxxxxxxx"
      }
    }
  },
[...]

Utiliser une identité attribuée par l’utilisateur pour obtenir un secret du coffre de clésUse user-assigned identity to get secret from key vault

Vous pouvez désormais utiliser l’identité managée dans l’instance de conteneur en cours d’exécution pour accéder au coffre de clés.Now you can use the managed identity within the running container instance to access the key vault. Commencez par lancer un shell bash dans le conteneur :First launch a bash shell in the container:

az container exec \
  --resource-group myResourceGroup \
  --name mycontainer \
  --exec-command "/bin/bash"

Exécutez les commandes suivantes dans le shell bash du conteneur.Run the following commands in the bash shell in the container. Pour obtenir un jeton d’accès permettant d’utiliser Azure Active Directory pour s’authentifier auprès du coffre de clés, exécutez la commande suivante :To get an access token to use Azure Active Directory to authenticate to key vault, run the following command:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -H Metadata:true -s

Sortie :Output:

{"access_token":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Imk2bEdrM0ZaenhSY1ViMkMzbkVRN3N5SEpsWSIsImtpZCI6Imk2bEdrM0ZaenhSY1ViMkMzbkVRN3N5SEpsWSJ9......xxxxxxxxxxxxxxxxx","refresh_token":"","expires_in":"28799","expires_on":"1539927532","not_before":"1539898432","resource":"https://vault.azure.net/","token_type":"Bearer"}

Pour stocker le jeton d’accès dans une variable qui pourra être utilisée dans les prochaines commandes pour l’authentification, exécutez la commande suivante :To store the access token in a variable to use in subsequent commands to authenticate, run the following command:

token=$(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -H Metadata:true | jq -r '.access_token')

Utilisez maintenant le jeton d’accès pour vous authentifier auprès du coffre de clés et lire un secret.Now use the access token to authenticate to key vault and read a secret. Veillez à remplacer le nom de votre coffre de clés dans l’URL (https://mykeyvault.vault.azure.net/... ) :Be sure to substitute the name of your key vault in the URL (https://mykeyvault.vault.azure.net/...):

curl https://mykeyvault.vault.azure.net/secrets/SampleSecret/?api-version=2016-10-01 -H "Authorization: Bearer $token"

La réponse ressemble à ce qui suit, elle affiche le code secret.The response looks similar to the following, showing the secret. Dans votre code, il vous faudrait analyser cette sortie pour obtenir le code secret.In your code, you would parse this output to obtain the secret. Utilisez ensuite le code secret dans une opération ultérieure pour accéder à une autre ressource Azure.Then, use the secret in a subsequent operation to access another Azure resource.

{"value":"Hello Container Instances","contentType":"ACIsecret","id":"https://mykeyvault.vault.azure.net/secrets/SampleSecret/xxxxxxxxxxxxxxxxxxxx","attributes":{"enabled":true,"created":1539965967,"updated":1539965967,"recoveryLevel":"Purgeable"},"tags":{"file-encoding":"utf-8"}}

Exemple 2 : Utiliser une identité attribuée par le système pour accéder à un coffre de clés AzureExample 2: Use a system-assigned identity to access Azure key vault

Activer une identité attribuée par le système dans un groupe de conteneursEnable system-assigned identity on a container group

Exécutez la commande az container create suivante pour créer une instance de conteneur basée sur une image azure-cli de Microsoft.Run the following az container create command to create a container instance based on Microsoft's azure-cli image. Cet exemple fournit un groupe contenant un seul conteneur que vous pouvez utiliser de manière interactive pour accéder à d’autres services Azure.This example provides a single-container group that you can use interactively to run the Azure CLI to access other Azure services.

Le paramètre --assign-identity, sans valeur supplémentaire, active une identité managée attribuée par le système dans le groupe.The --assign-identity parameter with no additional value enables a system-assigned managed identity on the group. L’identité est limitée au groupe de ressources du groupe de conteneurs.The identity is scoped to the resource group of the container group. Cette commande longue laisse le conteneur s’exécuter.The long-running command keeps the container running. Cet exemple utilise le même groupe de ressources que celui utilisé pour créer le coffre de clés, qui se trouve dans l’étendue de l’identité.This example uses the same resource group used to create the key vault, which is in the scope of the identity.

# Get the resource ID of the resource group
rgID=$(az group show --name myResourceGroup --query id --output tsv)

# Create container group with system-managed identity
az container create \
  --resource-group myResourceGroup \
  --name mycontainer \
  --image mcr.microsoft.com/azure-cli \
  --assign-identity --scope $rgID \
  --command-line "tail -f /dev/null"

Après quelques secondes, vous devez recevoir une réponse d’Azure CLI indiquant que le déploiement est terminé.Within a few seconds, you should get a response from the Azure CLI indicating that the deployment has completed. Vérifiez son état à l’aide de la commande az container show.Check its status with the az container show command.

az container show \
  --resource-group myResourceGroup \
  --name mycontainer

La section identity de la sortie ressemble à ce qui suit. Elle montre qu’une identité attribuée par le système a été créée dans Azure Active Directory :The identity section in the output looks similar to the following, showing that a system-assigned identity is created in Azure Active Directory:

[...]
"identity": {
    "principalId": "xxxxxxxx-528d-7083-b74c-xxxxxxxxxxxx",
    "tenantId": "xxxxxxxx-f292-4e60-9122-xxxxxxxxxxxx",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
},
[...]

Définissez une variable sur la valeur principalId (l’ID du principal de service) de l’identité, pour une utilisation ultérieure.Set a variable to the value of principalId (the service principal ID) of the identity, to use in later steps.

spID=$(az container show \
  --resource-group myResourceGroup \
  --name mycontainer \
  --query identity.principalId --out tsv)

Autoriser le groupe de conteneurs à accéder au coffre de clésGrant container group access to the key vault

Exécutez la commande az keyvault set-policy suivante pour définir une stratégie d’accès sur le coffre de clés.Run the following az keyvault set-policy command to set an access policy on the key vault. L’exemple suivant permet à l’identité managée attribuée par le système d’obtenir des secrets du coffre de clés :The following example allows the system-managed identity to get secrets from the key vault:

 az keyvault set-policy \
   --name mykeyvault \
   --resource-group myResourceGroup \
   --object-id $spID \
   --secret-permissions get

Utiliser une identité de groupe de conteneurs pour obtenir un secret du coffre de clésUse container group identity to get secret from key vault

Maintenant, vous pouvez utiliser l’identité managée pour accéder au coffre de clés dans l’instance de conteneur en cours d’exécution.Now you can use the managed identity to access the key vault within the running container instance. Commencez par lancer un shell bash dans le conteneur :First launch a bash shell in the container:

az container exec \
  --resource-group myResourceGroup \
  --name mycontainer \
  --exec-command "/bin/bash"

Exécutez les commandes suivantes dans le shell bash du conteneur.Run the following commands in the bash shell in the container. Connectez-vous d’abord à Azure CLI à l’aide de l’identité managée :First log in to the Azure CLI using the managed identity:

az login --identity

À partir du conteneur en cours d’exécution, récupérez le secret du coffre de clés :From the running container, retrieve the secret from the key vault:

az keyvault secret show \
  --name SampleSecret \
  --vault-name mykeyvault --query value

La valeur du secret est récupérée :The value of the secret is retrieved:

"Hello Container Instances"

Activer une identité managée à l’aide d’un modèle Resource ManagerEnable managed identity using Resource Manager template

Pour activer une identité managée dans un groupe de conteneurs à l’aide d’un modèle Resource Manager, définissez la propriété identity de l’objet Microsoft.ContainerInstance/containerGroups avec un objet ContainerGroupIdentity.To enable a managed identity in a container group using a Resource Manager template, set the identity property of the Microsoft.ContainerInstance/containerGroups object with a ContainerGroupIdentity object. Dans les extraits de code suivants, la propriété identity est configurée pour différents scénarios.The following snippets show the identity property configured for different scenarios. Consultez les références sur les modèles Resource Manager.See the Resource Manager template reference. Spécifiez une version apiVersion minimale de 2018-10-01.Specify a minimum apiVersion of 2018-10-01.

Identité attribuée par l’utilisateurUser-assigned identity

Une identité attribuée par l’utilisateur est un ID de ressource qui se présente sous cette forme :A user-assigned identity is a resource ID of the form:

"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}"

Vous pouvez activer une ou plusieurs identités attribuées par l’utilisateur.You can enable one or more user-assigned identities.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "myResourceID1": {
            }
        }
    }

Identité attribuée par le systèmeSystem-assigned identity

"identity": {
    "type": "SystemAssigned"
    }

Identités attribuées par l’utilisateur et par le systèmeSystem- and user-assigned identities

Sur un groupe de conteneurs, vous pouvez activer à la fois une identité attribuée par le système, et une ou plusieurs identités attribuées par l’utilisateur.On a container group, you can enable both a system-assigned identity and one or more user-assigned identities.

"identity": {
    "type": "System Assigned, UserAssigned",
    "userAssignedIdentities": {
        "myResourceID1": {
            }
        }
    }
...

Activer une identité managée à l’aide du fichier YAMLEnable managed identity using YAML file

Pour activer une identité managée dans un groupe de conteneurs déployé à l’aide d’un fichier YAML, incluez le code YAML suivant.To enable a managed identity in a container group deployed using a YAML file, include the following YAML. Spécifiez une version apiVersion minimale de 2018-10-01.Specify a minimum apiVersion of 2018-10-01.

Identité attribuée par l’utilisateurUser-assigned identity

Une identité attribuée par l’utilisateur est un ID de ressource qui se présente sous la formeA user-assigned identity is a resource ID of the form

'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'

Vous pouvez activer une ou plusieurs identités attribuées par l’utilisateur.You can enable one or more user-assigned identities.

identity:
  type: UserAssigned
  userAssignedIdentities:
    {'myResourceID1':{}}

Identité attribuée par le systèmeSystem-assigned identity

identity:
  type: SystemAssigned

Identités attribuées par l’utilisateur et par le systèmeSystem- and user-assigned identities

Sur un groupe de conteneurs, vous pouvez activer à la fois une identité attribuée par le système, et une ou plusieurs identités attribuées par l’utilisateur.On a container group, you can enable both a system-assigned identity and one or more user-assigned identities.

identity:
  type: SystemAssigned, UserAssigned
  userAssignedIdentities:
   {'myResourceID1':{}}

Étapes suivantesNext steps

Dans cet article, vous en avez appris davantage sur les identités managées dans Azure Container Instances, et vous avez découvert comment :In this article, you learned about managed identities in Azure Container Instances and how to:

  • Activer une identité attribuée par l’utilisateur ou par le système dans un groupe de conteneursEnable a user-assigned or system-assigned identity in a container group
  • Autoriser l’identité à accéder à un coffre de clés AzureGrant the identity access to an Azure key vault
  • Utiliser l’identité managée pour accéder à un coffre de clés à partir d’un conteneur en cours d’exécutionUse the managed identity to access a key vault from a running container