Usare le identità gestite per i test di carico di Azure

Questo articolo illustra come creare un'identità gestita per Test di carico di Azure. È possibile usare un'identità gestita per leggere in modo sicuro segreti o certificati da Azure Key Vault nel test di carico.

Un'identità gestita da Microsoft Entra ID consente alla risorsa di test di carico di accedere facilmente ad Azure Key Vault protetto da Microsoft Entra. L'identità viene gestita dalla piattaforma Azure e non richiede la gestione o la rotazione di segreti. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.

Test di carico di Azure supporta due tipi di identità:

• Un'identità assegnata dal sistema è associata alla risorsa di test di carico e viene eliminata quando la risorsa viene eliminata. Una risorsa può avere una sola identità assegnata dal sistema.
• Un'identità assegnata dall'utente è una risorsa di Azure autonoma che è possibile assegnare alla risorsa di test di carico. Quando si elimina la risorsa di test di carico, l'identità gestita rimane disponibile. È possibile assegnare più identità assegnate dall'utente alla risorsa di test di carico.

Attualmente, è possibile usare solo l'identità gestita per l'accesso ad Azure Key Vault.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
• Una risorsa di test di carico di Azure. Se è necessario creare una risorsa di test di carico di Azure, vedere la guida introduttiva Creare ed eseguire un test di carico.
• Per creare un'identità gestita assegnata dall'utente, all'account deve essere assegnato il ruolo Collaboratore di identità gestite.

Assegnare un'identità assegnata dal sistema a una risorsa di test di carico

Per assegnare un'identità assegnata dal sistema per la risorsa di test di carico di Azure, abilitare una proprietà nella risorsa. È possibile impostare questa proprietà usando il portale di Azure o usando un modello di Azure Resource Manager (ARM).

Portale

Per configurare un'identità gestita nel portale, creare prima una risorsa di test di carico di Azure e quindi abilitare la funzionalità.

1. Nella portale di Azure passare alla risorsa test di carico di Azure.

2. Nel riquadro sinistro, seleziona Identità.

3. Nella scheda Assegnata dal sistema impostare Statosu Sì e quindi selezionare Salva.

   

4. Nella finestra di conferma selezionare Sì per confermare l'assegnazione dell'identità gestita.

5. Al termine di questa operazione, la pagina mostra l'ID oggetto dell'identità gestita e consente di assegnarvi le autorizzazioni.

   

Interfaccia della riga di comando di Azure

Eseguire il az load update comando con --identity-type SystemAssigned per aggiungere un'identità assegnata dal sistema alla risorsa di test di carico:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Modello ARM

È possibile usare un modello di Resource Manager per automatizzare la distribuzione delle risorse di Azure. Per altre informazioni sull'uso dei modelli arm con Test di carico di Azure, vedere la documentazione di riferimento di Azure Load Testing ARM.

È possibile assegnare un'identità gestita assegnata dal sistema quando si crea una risorsa di tipo Microsoft.LoadTestService/loadtests. Configurare la identity proprietà con il SystemAssigned valore nella definizione della risorsa:

"identity": {
    "type": "SystemAssigned"
}

Aggiungendo il tipo di identità assegnato dal sistema, si indica ad Azure di creare e gestire l'identità per la risorsa. Ad esempio, una risorsa di test di carico di Azure potrebbe essere simile alla seguente:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Al termine della creazione della risorsa, per la risorsa sono configurate le proprietà seguenti:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

La tenantId proprietà identifica il tenant di Microsoft Entra a cui appartiene l'identità gestita. principalId è un identificatore univoco per la nuova identità della risorsa. All'interno di Microsoft Entra ID, l'entità servizio ha lo stesso nome della risorsa di test di carico di Azure.

Assegnare un'identità assegnata dall'utente a una risorsa di test di carico

Prima di poter aggiungere un'identità gestita assegnata dall'utente a una risorsa di test di carico di Azure, è necessario creare questa identità in Microsoft Entra ID. È quindi possibile assegnare l'identità usando il relativo identificatore di risorsa.

È possibile aggiungere più identità gestite assegnate dall'utente alla risorsa. Ad esempio, se è necessario accedere a più risorse di Azure, è possibile concedere autorizzazioni diverse a ognuna di queste identità.

Portale

1. Creare un'identità gestita assegnata dall'utente seguendo le istruzioni indicate in Creare un'identità gestita assegnata dall'utente.

   

2. Nella portale di Azure passare alla risorsa test di carico di Azure.

3. Nel riquadro sinistro, seleziona Identità.

4. Selezionare la scheda Assegnata dall'utente e selezionare Aggiungi.

5. Cercare e selezionare l'identità gestita creata in precedenza. Selezionare quindi Aggiungi per aggiungerlo alla risorsa test di carico di Azure.

   

Interfaccia della riga di comando di Azure

1. Creare un'identità assegnata dall'utente.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Eseguire il az load update comando con --identity-type UserAssigned per aggiungere un'identità assegnata dall'utente alla risorsa di test di carico:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Modello ARM

È possibile creare una risorsa di test di carico di Azure usando un modello di Resource Manager e il tipo di Microsoft.LoadTestService/loadtestsrisorsa . Per altre informazioni sull'uso dei modelli arm con Test di carico di Azure, vedere la documentazione di riferimento di Azure Load Testing ARM.

1. Creare un'identità gestita assegnata dall'utente seguendo le istruzioni indicate in Creare un'identità gestita assegnata dall'utente.

2. Specificare l'identità gestita assegnata dall'utente nella identity sezione della definizione della risorsa.

   Sostituire il segnaposto di <RESOURCEID> testo con l'ID risorsa dell'identità assegnata dall'utente:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   Il frammento di codice seguente mostra un esempio di definizione di risorsa di Azure Load Testing ARM con un'identità assegnata dall'utente:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Dopo aver creato la risorsa Test di carico, Azure fornisce le principalId proprietà e clientId nell'output:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   principalId è un identificatore univoco per l'identità usata per l'amministrazione di Microsoft Entra. clientId è un identificatore univoco per la nuova identità della risorsa usata per specificare l'identità da usare durante le chiamate di runtime.

Configurare la risorsa di destinazione

Potrebbe essere necessario configurare la risorsa di destinazione per consentire l'accesso dalla risorsa di test di carico. Ad esempio, se si legge un segreto o un certificato da Azure Key Vault o se si usano chiavi gestite dal cliente per la crittografia, è necessario aggiungere anche un criterio di accesso che includa l'identità gestita della risorsa. In caso contrario, le chiamate ad Azure Key Vault vengono rifiutate, anche se si usa un token valido.

Contenuto correlato

• Usare segreti o certificati nel test di carico
• Configurare le chiavi gestite dal cliente per la crittografia
• Informazioni sulle identità gestite per le risorse di Azure