Często zadawane pytania dotyczące tożsamości zarządzanych dla zasobów platformy Azure — Azure AD

Zarządzane tożsamości dla zasobów platformy Azure to funkcja usługi Azure Active Directory. Każda usługa platformy Azure obsługująca tożsamości zarządzane dla zasobów platformy Azure ma własną oś czasu. Pamiętaj, aby przed rozpoczęciem sprawdzić stan dostępności tożsamości zarządzanych dla swojego zasobu i znane problemy.

Uwaga

Tożsamości zarządzane dla zasobów platformy Azure to nowa nazwa usługi znanej wcześniej jako Tożsamość usługi zarządzanej (MSI).

Administracja

Jak można znaleźć zasoby, które mają tożsamość zarządzaną?

Listę zasobów, które mają tożsamość zarządzaną przypisaną przez system, można znaleźć za pomocą następującego polecenia interfejsu wiersza polecenia platformy Azure:

az resource list --query "[?identity.type=='SystemAssigned'].{Name:name,  principalId:identity.principalId}" --output table

Które uprawnienia RBAC platformy Azure są wymagane do używania tożsamości zarządzanej w zasobie?

  • Tożsamość zarządzana przypisana przez system: musisz mieć uprawnienia do zapisu dla zasobu. Na przykład w przypadku maszyn wirtualnych potrzebne jest uprawnienie Microsoft.Compute/virtualMachines/write. Ta akcja jest zawarta we wbudowanych rolach specyficznych dla zasobów, takich jak Współautor maszyny wirtualnej.
  • Przypisywanie tożsamości zarządzanych przypisanych przez użytkownika do zasobów: musisz mieć uprawnienia do zapisu dla zasobu. Na przykład w przypadku maszyn wirtualnych potrzebne jest uprawnienie Microsoft.Compute/virtualMachines/write. Konieczne będzie również Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action działanie w przypadku tożsamości przypisanej przez użytkownika. Ta akcja jest uwzględniona we wbudowanej roli Operatora tożsamości zarządzanej.
  • Zarządzanie tożsamościami przypisanymi przez użytkownika: aby tworzyć lub usuwać tożsamości zarządzane przypisane przez użytkownika, potrzebne jest przypisanie roli Współautor tożsamości zarządzanej.
  • Zarządzanie przypisaniami ról dla tożsamości zarządzanych: musisz mieć przypisanie roli Właściciel lub Administrator dostępu użytkowników do zasobu, do którego udzielasz dostępu. Konieczne będzie przypisanie roli Czytelnik do zasobu z tożsamością przypisaną przez system lub do tożsamości przypisanej przez użytkownika, która ma przypisane przypisanie roli. Jeśli nie masz dostępu do odczytu, możesz wyszukać według "użytkownika, grupy lub jednostki usługi", aby znaleźć zapasową jednostkę usługi tożsamości, zamiast wyszukiwać według tożsamości zarządzanej podczas dodawania przypisania roli. Przeczytaj więcej na temat przypisywania ról platformy Azure.

Jak mogę tworzenie tożsamości zarządzanych przypisanych przez użytkownika?

Możesz chronić użytkowników przed tworzeniem tożsamości zarządzanych przypisanych przez użytkownika przy użyciu Azure Policy

  1. Przejdź do Azure Portal i przejdź do zasad.

  2. Wybieranie definicji

  3. Wybierz pozycję + Definicja zasad i wprowadź niezbędne informacje.

  4. W sekcji reguły zasad wklej:

    {
      "mode": "All",
      "policyRule": {
        "if": {
          "field": "type",
          "equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
        },
        "then": {
          "effect": "deny"
        }
      },
      "parameters": {}
    }
    
    

Po utworzeniu zasad przypisz je do grupy zasobów, która ma być używana.

  1. Przejdź do grup zasobów.
  2. Znajdź grupę zasobów używaną do testowania.
  3. Wybierz pozycję Zasady z menu po lewej stronie.
  4. Wybierz pozycję Przypisz zasady
  5. W sekcji Podstawy podaj:
    1. Zakres Grupa zasobów, która jest używana do testowania
    2. Definicja zasad:zasady utworzone wcześniej.
  6. Pozostaw wartości domyślne wszystkich pozostałych ustawień i wybierz pozycję Przejrzyj i utwórz

W tym momencie próba utworzenia tożsamości zarządzanej przypisanej przez użytkownika w grupie zasobów nie powiedzie się.

Policy violation

Pojęcia

Czy tożsamości zarządzane mają zapasowy obiekt aplikacji?

Nie. Tożsamości zarządzane i aplikacja usługi Azure AD rejestracji nie są tym samym w katalogu.

Rejestracje aplikacji dwa składniki: obiekt aplikacji i obiekt jednostki usługi. Tożsamości zarządzane dla zasobów platformy Azure mają tylko jeden z tych składników: obiekt jednostki usługi.

Tożsamości zarządzane nie mają obiektu aplikacji w katalogu , co jest często używane do przyznawania uprawnień aplikacji dla programu MS Graph. Zamiast tego uprawnienia programu MS Graph dla tożsamości zarządzanych należy przyznać bezpośrednio do jednostki usługi.

Jakie jest poświadczenie skojarzone z tożsamością zarządzaną? Jak długo jest prawidłowa i jak często jest obracana?

Uwaga

Sposób uwierzytelniania tożsamości zarządzanych to szczegóły wewnętrznej implementacji, które mogą ulec zmianie bez powiadomienia.

Tożsamości zarządzane korzystają z uwierzytelniania opartego na certyfikatach. Każde poświadczenie tożsamości zarządzanej wygasa przez 90 dni i jest wycofywowane po 45 dniach.

Jaka tożsamość będzie domyślnie określana przez IMDS, jeśli nie określi tożsamości w żądaniu?

  • Jeśli tożsamość zarządzana przypisana przez system jest włączona i w żądaniu nie określono tożsamości, usługa Azure Instance Metadata Service (IMDS) domyślnie określa tożsamość zarządzaną przypisaną przez system.
  • Jeśli tożsamość zarządzana przypisana przez system nie jest włączona i istnieje tylko jedna tożsamość zarządzana przypisana przez użytkownika, usługi IMDS domyślnie przypisze do tej tożsamości zarządzanej przypisanej przez jednego użytkownika.
  • Jeśli tożsamość zarządzana przypisana przez system nie jest włączona i istnieje wiele tożsamości zarządzanych przypisanych przez użytkownika, należy określić tożsamość zarządzaną w żądaniu.

Ograniczenia

Czy ta sama tożsamość zarządzana może być używana w wielu regionach?

Krótko mówiąc, tak, można używać tożsamości zarządzanych przypisanych przez użytkownika w więcej niż jednym regionie świadczenia usługi Azure. Dłuższe odpowiedzią jest to, że mimo że tożsamości zarządzane przypisane przez użytkownika są tworzone jako zasoby regionalne, skojarzona nazwa główna usługi (SP) utworzona w usłudze Azure AD jest dostępna globalnie. Jednostki usługi można używać z dowolnego regionu świadczenia usługi Azure, a jej dostępność zależy od dostępności usługi Azure AD. Jeśli na przykład utworzono tożsamość zarządzaną przypisaną przez użytkownika w regionie South-Central i ten region staje się niedostępny, ten problem ma wpływ tylko na działania płaszczyzny sterowania w samej tożsamości zarządzanej. Nie ma to wpływu na działania wykonywane przez jakiekolwiek zasoby, które zostały już skonfigurowane do korzystania z tożsamości zarządzanych.

Czy tożsamości zarządzane dla zasobów platformy Azure działają z Azure Cloud Services?

Nie, nie ma planów obsługi tożsamości zarządzanych dla zasobów platformy Azure w Azure Cloud Services.

Jaka jest granica zabezpieczeń tożsamości zarządzanych dla zasobów platformy Azure?

Granica zabezpieczeń tożsamości jest zasobem, do którego jest dołączona. Na przykład granicą zabezpieczeń maszyny wirtualnej z tożsamościami zarządzanymi dla zasobów platformy Azure jest maszyna wirtualna. Każdy kod uruchomiony na tej maszynie wirtualnej może wywołać tożsamości zarządzane dla punktu końcowego zasobów platformy Azure i zażądać tokenów. Jest to podobne środowisko z innymi zasobami, które obsługują tożsamości zarządzane dla zasobów platformy Azure.

Czy tożsamości zarządzane zostaną automatycznie odtworzone w przypadku przeniesienia subskrypcji do innego katalogu?

Nie. Jeśli przeniesiesz subskrypcję do innego katalogu, musisz ręcznie utworzyć ją ponownie i ponownie udzielić przypisań ról platformy Azure.

  • W przypadku tożsamości zarządzanych przypisanych przez system: wyłącz je i włącz ponownie.
  • W przypadku tożsamości zarządzanych przypisanych przez użytkownika: usuń je, utwórz ponownie i ponownie przypisz do właściwych zasobów (na przykład maszyn wirtualnych)

Czy mogę użyć tożsamości zarządzanej, aby uzyskać dostęp do zasobu w innym katalogu/dzierżawie?

Nie. Tożsamości zarządzane nie obsługują obecnie scenariuszy między katalogami.

Czy istnieją limity szybkości dotyczące tożsamości zarządzanych?

Limity tożsamości zarządzanych mają zależności od limitów usługi platformy Azure, limitów usługi Azure Instance Metadata Service (IMDS) i Azure Active Directory limitów usługi.

  • Limity usług platformy Azure definiują liczbę operacji tworzenia, które mogą być wykonywane na poziomie dzierżawy i subskrypcji. Tożsamości zarządzane przypisane przez użytkownika mają również ograniczenia dotyczące sposobu ich nazywania.
  • ImDS Ogólnie rzecz biorąc, żądania do imds są ograniczone do pięciu żądań na sekundę. Żądania przekraczające ten próg zostaną odrzucone z 429 odpowiedziami. Żądania do kategorii Tożsamość zarządzana są ograniczone do 20 żądań na sekundę i 5 żądań współbieżnych. Więcej informacji można znaleźć w artykule Azure Instance Metadata Service (Windows).
  • Azure Active Directory service Każda tożsamość zarządzana wlicza się do limitu przydziału obiektów w dzierżawie usługi Azure AD zgodnie z opisem w tesłudze Azure AD service limits and restrictions (Limity i ograniczenia usługi Azure AD).

Czy można przenieść tożsamość zarządzaną przypisaną przez użytkownika do innej grupy zasobów/subskrypcji?

Przenoszenie tożsamości zarządzanej przypisanej przez użytkownika do innej grupy zasobów nie jest obsługiwane.

Czy tokeny są buforowane po ich wystawieniu dla tożsamości zarządzanej?

Tokeny tożsamości zarządzanej są buforowane przez podstawową infrastrukturę platformy Azure na potrzeby wydajności i odporności: usługi back-end na potrzeby tożsamości zarządzanych utrzymują pamięć podręczną na każdy zasób przez około 24 godziny. Oznacza to, że na przykład może mi potrwać kilka godzin, aby zmiany uprawnień tożsamości zarządzanej zostały wprowadzone. Obecnie nie jest możliwe wymuś odświeżenie tokenu tożsamości zarządzanej przed jej wygaśnięciem. Aby uzyskać więcej informacji, zobacz Limit użycia tożsamości zarządzanych do autoryzacji.

Następne kroki