Mik az Azure-erőforrások felügyelt identitásai?

A fejlesztők számára gyakori kihívás a titkos kódok, a hitelesítő adatok, a tanúsítványok és a kulcsok kezelése a szolgáltatások közötti kommunikáció biztonságossá tételéhez. A felügyelt identitások nem igénylik, hogy a fejlesztők felügyeljék ezeket a hitelesítő adatokat.

Bár a fejlesztők biztonságosan tárolhatják a titkos kulcsokat az Azure Key Vaultban, a szolgáltatásoknak módot kell biztosítaniuk az Azure Key Vault elérésére. A kezelt identitások automatikusan kezelt identitást biztosítanak a Microsoft Entra ID-ban az alkalmazások számára, amelyeket a Microsoft Entra hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak. Az alkalmazások a kezelt identitásokat használhatják a Microsoft Entra tokenek megszerzésére anélkül, hogy hitelesítő adatokat kellene kezelniük.

Az alábbi videó bemutatja, hogyan használhat felügyelt identitásokat:

A felügyelt identitások használatának néhány előnye:

  • Nem kell hitelesítő adatokat kezelnie. A hitelesítő adatok még csak nem is érhetők el.
  • Felügyelt identitásokkal hitelesítheti magát minden olyan erőforráson, amely támogatja a Microsoft Entra-hitelesítést, beleértve a saját alkalmazásait is.
  • A felügyelt identitások további költségek nélkül használhatók.

Megjegyzés:

Az Azure-erőforrások felügyelt identitásai a Managed Service Identity (MSI) szolgáltatás új neve.

Felügyelt identitástípusok

A felügyelt identitásoknak két típusa létezik:

  • Rendszer által hozzárendelt. Egyes Azure-erőforrások, például a virtuális gépek lehetővé teszik a felügyelt identitások közvetlen engedélyezését az erőforráson. Rendszer által hozzárendelt felügyelt identitás engedélyezésekor:

    • Az identitáshoz egy speciális típusú szolgáltatásnév jön létre a Microsoft Entra-azonosítóban. A szolgáltatásnév az Adott Azure-erőforrás életciklusához van kötve. Az Azure-erőforrás törlésekor az Azure automatikusan törli Önnek a szolgáltatásnevet.
    • A rendszer működése alapján csak az adott Azure-erőforrás használhatja ezt az identitást ahhoz, hogy tokeneket kérjen le a Microsoft Entra ID-ből.
    • Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.
    • A rendszer által hozzárendelt szolgáltatásnév neve mindig megegyezik a létrehozott Azure-erőforrás nevével. Üzembehelyezési pont esetén a rendszer által hozzárendelt identitás neve .<app-name>/slots/<slot-name>
  • Felhasználó által hozzárendelt. Felügyelt identitást önálló Azure-erőforrásként is létrehozhat. Létrehozhat egy felhasználó által hozzárendelt felügyelt identitást, és hozzárendelheti egy vagy több Azure-erőforráshoz. Ha engedélyezi a felhasználó által hozzárendelt felügyelt identitást:

    • Az identitáshoz egy speciális típusú szolgáltatásnév jön létre a Microsoft Entra-azonosítóban. A szolgáltatásnév kezelése külön történik az azt használó erőforrásoktól.
    • A felhasználó által hozzárendelt identitásokat több erőforrás is használhatja.
    • Ön engedélyezi a felügyelt identitás számára, hogy hozzáférjen egy vagy több szolgáltatáshoz.

Az alábbi táblázat a felügyelt identitások két típusa közötti különbségeket mutatja be:

Tulajdonság Rendszer által hozzárendelt felügyelt identitás Felhasználó által hozzárendelt felügyelt identitás
Creation Azure-erőforrás részeként (például Azure Virtual Machines vagy Azure-alkalmazás Service) jön létre. Önálló Azure-erőforrásként létrehozva.
Életciklus Megosztott életciklus azzal az Azure-erőforrással, amellyel a felügyelt identitás létrejön.
A szülőerőforrás törlésekor a felügyelt identitás is törlődik.
Független életciklus.
Kifejezetten törölni kell.
Megosztás Azure-erőforrások között Nem osztható meg.
Csak egyetlen Azure-erőforráshoz társítható.
Megosztható.
Ugyanaz a felhasználó által hozzárendelt felügyelt identitás több Azure-erőforráshoz is társítható.
Gyakori alkalmazási helyzetek Egyetlen Azure-erőforrásban található számítási feladatok.
Független identitásokat igénylő számítási feladatok.
Például egy olyan alkalmazás, amely egyetlen virtuális gépen fut.
Több erőforráson futó számítási feladatok, amelyek egyetlen identitást oszthatnak meg.
Olyan számítási feladatok, amelyekre előzetes engedélyezésre van szükség egy biztonságos erőforráshoz egy kiépítési folyamat részeként.
Olyan számítási feladatok, amelyekben az erőforrásokat gyakran újrahasznosítják, de az engedélyeknek konzisztensnek kell maradniuk.
Például egy olyan számítási feladat, amelyben több virtuális gépnek is hozzá kell férnie ugyanahhoz az erőforráshoz.

Hogyan használhatom az Azure-erőforrások felügyelt identitásait?

A felügyelt identitásokat az alábbi lépések végrehajtásával használhatja:

  1. Felügyelt identitás létrehozása az Azure-ban. Választhat a rendszer által hozzárendelt felügyelt identitás vagy a felhasználó által hozzárendelt felügyelt identitás között.
    1. Felhasználó által hozzárendelt felügyelt identitás használatakor hozzárendeli a felügyelt identitást a "forrás" Azure-erőforráshoz, például egy virtuális géphez, az Azure Logic Apphoz vagy egy Azure-webalkalmazáshoz.
  2. Engedélyezze a felügyelt identitásnak, hogy hozzáférjen a "cél" szolgáltatáshoz.
  3. A felügyelt identitás használatával érhet el egy erőforrást. Ebben a lépésben az Azure SDK-t használhatja az Azure.Identity könyvtárral. Egyes "forrás" erőforrások olyan összekötőket kínálnak, amelyek tudják, hogyan használhatók a felügyelt identitások a kapcsolatokhoz. Ebben az esetben az identitást használja az adott "forrás" erőforrás funkciójaként.

Mely Azure-szolgáltatások támogatják a szolgáltatást?

Az Azure-erőforrások felügyelt identitásai a Microsoft Entra-hitelesítést támogató szolgáltatások hitelesítésére használhatók. A támogatott Azure-szolgáltatások listájáért tekintse meg az Azure-erőforrások felügyelt identitásait támogató szolgáltatásokat.

Milyen műveleteket végezhetek a felügyelt identitásokon?

A rendszer által hozzárendelt felügyelt identitásokat támogató erőforrások lehetővé teszik a következőt:

  • Felügyelt identitások engedélyezése vagy letiltása az erőforrás szintjén.
  • Engedélyek megadásához használja a szerepköralapú hozzáférés-vezérlést (RBAC).
  • Tekintse meg a létrehozási, olvasási, frissítési és törlési (CRUD) műveleteket az Azure-tevékenységnaplókban.
  • Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.

Ha ehelyett egy felhasználó által hozzárendelt felügyelt identitást választ:

  • Létrehozhatja, elolvashatja, frissítheti és törölheti az identitásokat.
  • Az RBAC-szerepkör-hozzárendelésekkel engedélyeket adhat meg.
  • A felhasználó által hozzárendelt felügyelt identitások több erőforráson is használhatók.
  • A CRUD-műveletek megtekinthetők az Azure-tevékenységnaplókban.
  • Bejelentkezési tevékenység megtekintése a Microsoft Entra ID bejelentkezési naplóiban.

A felügyelt identitásokon végzett műveletek egy Azure Resource Manager-sablon, az Azure Portal, az Azure CLI, a PowerShell és a REST API-k használatával végezhetők el.

További lépések