Jak używać tożsamości zarządzanych z usługą Azure Container InstancesHow to use managed identities with Azure Container Instances

Użyj tożsamości zarządzanych dla zasobów platformy Azure, aby uruchamiać kod w usłudze Azure Container Instances, która współdziała z innymi usługami platformy Azure — bez konieczności utrzymywania wpisów tajnych ani poświadczeń w kodzie.Use managed identities for Azure resources to run code in Azure Container Instances that interacts with other Azure services - without maintaining any secrets or credentials in code. Ta funkcja zapewnia wdrożenie Azure Container Instances z automatycznie zarządzaną tożsamością w Azure Active Directory.The feature provides an Azure Container Instances deployment with an automatically managed identity in Azure Active Directory.

Z tego artykułu dowiesz się więcej na temat tożsamości zarządzanych w Azure Container Instances i:In this article, you learn more about managed identities in Azure Container Instances and:

  • Włączanie tożsamości przypisanej przez użytkownika lub przypisanej przez system w grupie kontenerówEnable a user-assigned or system-assigned identity in a container group
  • Udzielanie tożsamości dostępu do usługi Azure Key VaultGrant the identity access to an Azure key vault
  • Uzyskiwanie dostępu do magazynu kluczy z uruchomionego kontenera przy użyciu tożsamości zarządzanejUse the managed identity to access a key vault from a running container

Dostosuj przykłady, aby umożliwić korzystanie z tożsamości w usłudze Azure Container Instances w celu uzyskiwania dostępu do innych usług platformy Azure.Adapt the examples to enable and use identities in Azure Container Instances to access other Azure services. Te przykłady są interaktywne.These examples are interactive. Jednak w praktyce obrazy kontenerów uruchamiałyby kod w celu uzyskania dostępu do usług platformy Azure.However, in practice your container images would run code to access Azure services.

Ważne

Ta funkcja jest obecnie w wersji zapoznawczej.This feature is currently in preview. Wersje zapoznawcze są udostępniane pod warunkiem udzielenia zgody na dodatkowe warunki użytkowania.Previews are made available to you on the condition that you agree to the supplemental terms of use. Niektóre cechy funkcji mogą ulec zmianie, zanim stanie się ona ogólnie dostępna.Some aspects of this feature may change prior to general availability (GA). Obecnie tożsamości zarządzane na komputerze Azure Container Instances są obsługiwane tylko z kontenerami systemu Linux, a jeszcze nie z kontenerami systemu Windows.Currently, managed identities on Azure Container Instances, are only supported with Linux containers and not yet with Windows containers.

Dlaczego warto używać tożsamości zarządzanej?Why use a managed identity?

Użyj tożsamości zarządzanej w uruchomionym kontenerze, aby uwierzytelnić się w dowolnej usłudze obsługującej uwierzytelnianie usługi Azure AD bez zarządzania poświadczeniami w kodzie kontenera.Use a managed identity in a running container to authenticate to any service that supports Azure AD authentication without managing credentials in your container code. W przypadku usług, które nie obsługują uwierzytelniania usługi AD, wpisy tajne można przechowywać w magazynie kluczy platformy Azure i używać tożsamości zarządzanej do uzyskiwania dostępu do magazynu kluczy w celu pobrania poświadczeń.For services that don't support AD authentication, you can store secrets in an Azure key vault and use the managed identity to access the key vault to retrieve credentials. Aby uzyskać więcej informacji na temat korzystania z tożsamości zarządzanej, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?For more information about using a managed identity, see What is managed identities for Azure resources?

Włączanie tożsamości zarządzanejEnable a managed identity

Podczas tworzenia grupy kontenerów włącz co najmniej jedną tożsamość zarządzaną, ustawiając właściwość ContainerGroupIdentity.When you create a container group, enable one or more managed identities by setting a ContainerGroupIdentity property. Tożsamości zarządzane można również włączyć lub zaktualizować po uruchomieniu grupy kontenerów — każda z tych akcji powoduje ponowne uruchomienie grupy kontenerów.You can also enable or update managed identities after a container group is running - either action causes the container group to restart. Aby ustawić tożsamości w nowej lub istniejącej grupie kontenerów, użyj interfejsu wiersza polecenia platformy Azure, Resource Manager szablonu, pliku YAML lub innego narzędzia platformy Azure.To set the identities on a new or existing container group, use the Azure CLI, a Resource Manager template, a YAML file, or another Azure tool.

Azure Container Instances obsługuje oba typy zarządzanych tożsamości platformy Azure: przypisane przez użytkownika i przypisane przez system.Azure Container Instances supports both types of managed Azure identities: user-assigned and system-assigned. W grupie kontenerów można włączyć tożsamość przypisaną przez system, co najmniej jedną tożsamość przypisaną przez użytkownika lub oba typy tożsamości.On a container group, you can enable a system-assigned identity, one or more user-assigned identities, or both types of identities. Jeśli nie masz informacji o tożsamościach zarządzanych dla zasobów platformy Azure, zobacz omówienie.If you're unfamiliar with managed identities for Azure resources, see the overview.

Korzystanie z tożsamości zarządzanejUse a managed identity

Aby użyć tożsamości zarządzanej, należy przyznać tożsamości dostęp do co najmniej jednego zasobów usługi platformy Azure (takich jak aplikacja internetowa, magazyn kluczy lub konto magazynu) w subskrypcji.To use a managed identity, the identity must be granted access to one or more Azure service resources (such as a web app, a key vault, or a storage account) in the subscription. Używanie tożsamości zarządzanej w uruchomionym kontenerze jest podobne do korzystania z tożsamości na maszynie wirtualnej platformy Azure.Using a managed identity in a running container is similar to using an identity in an Azure VM. Zobacz wskazówki dotyczące używania tokenu , interfejsu wiersza Azure PowerShell interfejsuwiersza polecenia platformy Azure lub zestawów Azure SDK.See the VM guidance for using a token, Azure PowerShell or Azure CLI, or the Azure SDKs.

OgraniczeniaLimitations

  • Obecnie nie można użyć tożsamości zarządzanej w grupie kontenerów wdrożonej w sieci wirtualnej.Currently you can't use a managed identity in a container group deployed to a virtual network.
  • Nie można użyć tożsamości zarządzanej do ściągnięcie obrazu z Azure Container Registry podczas tworzenia grupy kontenerów.You can't use a managed identity to pull an image from Azure Container Registry when creating a container group. Tożsamość jest dostępna tylko w uruchomionym kontenerze.The identity is only available within a running container.

Wymagania wstępnePrerequisites

  • Użyj środowiska bash w Azure Cloud Shell.Use the Bash environment in Azure Cloud Shell.

    Uruchamianie środowiska Cloud Shell w nowym oknieLaunch Cloud Shell in a new window

  • Jeśli chcesz, zainstaluj interfejs wiersza polecenia platformy Azure, aby móc uruchamiać polecenia referencyjne interfejsu CLI.If you prefer, install the Azure CLI to run CLI reference commands.

  • Ten artykuł wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0.49 lub nowszej.This article requires version 2.0.49 or later of the Azure CLI. Jeśli używasz Azure Cloud Shell, najnowsza wersja jest już zainstalowana.If using Azure Cloud Shell, the latest version is already installed.

Tworzenie magazynu kluczy platformy AzureCreate an Azure key vault

W przykładach w tym artykule tożsamość zarządzana jest Azure Container Instances do uzyskiwania dostępu do klucza tajnego usługi Azure Key Vault.The examples in this article use a managed identity in Azure Container Instances to access an Azure key vault secret.

Najpierw utwórz grupę zasobów o nazwie myResourceGroup w lokalizacji eastus za pomocą następującego polecenia az group create:First, create a resource group named myResourceGroup in the eastus location with the following az group create command:

az group create --name myResourceGroup --location eastus

Użyj polecenia az keyvault create, aby utworzyć magazyn kluczy.Use the az keyvault create command to create a key vault. Pamiętaj, aby określić unikatową nazwę magazynu kluczy.Be sure to specify a unique key vault name.

az keyvault create \
  --name mykeyvault \
  --resource-group myResourceGroup \ 
  --location eastus

Przechowaj przykładowy klucz tajny w magazynie kluczy za pomocą polecenia az keyvault secret set:Store a sample secret in the key vault using the az keyvault secret set command:

az keyvault secret set \
  --name SampleSecret \
  --value "Hello Container Instances" \
  --description ACIsecret --vault-name mykeyvault

Kontynuuj pracę z poniższymi przykładami, aby uzyskać dostęp do magazynu kluczy przy użyciu przypisanej przez użytkownika lub przypisanej przez system tożsamości zarządzanej w Azure Container Instances.Continue with the following examples to access the key vault using either a user-assigned or system-assigned managed identity in Azure Container Instances.

Przykład 1: uzyskiwanie dostępu do usługi Azure Key Vault przy użyciu tożsamości przypisanej przez użytkownikaExample 1: Use a user-assigned identity to access Azure key vault

Tworzenie tożsamościCreate an identity

Najpierw utwórz tożsamość w subskrypcji przy użyciu polecenia az identity create.First create an identity in your subscription using the az identity create command. Możesz użyć tej samej grupy zasobów, która jest używana do utworzenia magazynu kluczy, lub innej.You can use the same resource group used to create the key vault, or use a different one.

az identity create \
  --resource-group myResourceGroup \
  --name myACIId

Aby użyć tożsamości w poniższych krokach, użyj polecenia az identity show do przechowywania identyfikatora jednostki usługi i identyfikatora zasobu tożsamości w zmiennych.To use the identity in the following steps, use the az identity show command to store the identity's service principal ID and resource ID in variables.

# Get service principal ID of the user-assigned identity
spID=$(az identity show \
  --resource-group myResourceGroup \
  --name myACIId \
  --query principalId --output tsv)

# Get resource ID of the user-assigned identity
resourceID=$(az identity show \
  --resource-group myResourceGroup \
  --name myACIId \
  --query id --output tsv)

Udzielanie tożsamości przypisanej przez użytkownika dostępu do magazynu kluczyGrant user-assigned identity access to the key vault

Uruchom następujące polecenie az keyvault set-policy, aby ustawić zasady dostępu w magazynie kluczy.Run the following az keyvault set-policy command to set an access policy on the key vault. Poniższy przykład umożliwia tożsamości przypisanej przez użytkownika uzyskiwanie wpisów tajnych z magazynu kluczy:The following example allows the user-assigned identity to get secrets from the key vault:

 az keyvault set-policy \
    --name mykeyvault \
    --resource-group myResourceGroup \
    --object-id $spID \
    --secret-permissions get

Włączanie tożsamości przypisanej przez użytkownika w grupie kontenerówEnable user-assigned identity on a container group

Uruchom następujące polecenie az container create, aby utworzyć wystąpienie kontenera na podstawie obrazu azure-cli firmy Microsoft.Run the following az container create command to create a container instance based on Microsoft's azure-cli image. Ten przykład zawiera grupę z jednym kontenerem, za pomocą których można interaktywnie uruchamiać interfejs wiersza polecenia platformy Azure w celu uzyskania dostępu do innych usług platformy Azure.This example provides a single-container group that you can use interactively to run the Azure CLI to access other Azure services. W tej sekcji używany jest tylko podstawowy system operacyjny.In this section, only the base operating system is used. Aby uzyskać przykład użycia interfejsu wiersza polecenia platformy Azure w kontenerze, zobacz Włączanie tożsamości przypisanej przez system w grupie kontenerów.For an example to use the Azure CLI in the container, see Enable system-assigned identity on a container group.

Parametr --assign-identity przekazuje tożsamość zarządzaną przypisaną przez użytkownika do grupy.The --assign-identity parameter passes your user-assigned managed identity to the group. Długotrwałe polecenie utrzymuje działanie kontenera.The long-running command keeps the container running. W tym przykładzie użyto tej samej grupy zasobów, która jest używana do utworzenia magazynu kluczy, ale można określić inną.This example uses the same resource group used to create the key vault, but you could specify a different one.

az container create \
  --resource-group myResourceGroup \
  --name mycontainer \
  --image mcr.microsoft.com/azure-cli \
  --assign-identity $resourceID \
  --command-line "tail -f /dev/null"

W ciągu kilku sekund powinna pojawić się odpowiedź z interfejsu wiersza polecenia platformy Azure, wskazująca ukończenie wdrażania.Within a few seconds, you should get a response from the Azure CLI indicating that the deployment has completed. Sprawdź jego stan za pomocą polecenia az container show.Check its status with the az container show command.

az container show \
  --resource-group myResourceGroup \
  --name mycontainer

Sekcja identity w danych wyjściowych wygląda podobnie do poniższej, pokazując, że tożsamość jest ustawiona w grupie kontenerów.The identity section in the output looks similar to the following, showing the identity is set in the container group. W principalID obszarze userAssignedIdentities jest jednostką usługi tożsamości utworzonej w Azure Active Directory:The principalID under userAssignedIdentities is the service principal of the identity you created in Azure Active Directory:

[...]
"identity": {
    "principalId": "null",
    "tenantId": "xxxxxxxx-f292-4e60-9122-xxxxxxxxxxxx",
    "type": "UserAssigned",
    "userAssignedIdentities": {
      "/subscriptions/xxxxxxxx-0903-4b79-a55a-xxxxxxxxxxxx/resourcegroups/danlep1018/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myACIId": {
        "clientId": "xxxxxxxx-5523-45fc-9f49-xxxxxxxxxxxx",
        "principalId": "xxxxxxxx-f25b-4895-b828-xxxxxxxxxxxx"
      }
    }
  },
[...]

Uzyskiwanie klucza tajnego z magazynu kluczy przy użyciu tożsamości przypisanej przez użytkownikaUse user-assigned identity to get secret from key vault

Teraz możesz użyć tożsamości zarządzanej w uruchomionym wystąpieniu kontenera, aby uzyskać dostęp do magazynu kluczy.Now you can use the managed identity within the running container instance to access the key vault. Najpierw uruchom powłokę Bash w kontenerze:First launch a bash shell in the container:

az container exec \
  --resource-group myResourceGroup \
  --name mycontainer \
  --exec-command "/bin/bash"

Uruchom następujące polecenia w powłoce bash w kontenerze.Run the following commands in the bash shell in the container. Aby uzyskać token dostępu w celu użycia Azure Active Directory do uwierzytelniania w magazynie kluczy, uruchom następujące polecenie:To get an access token to use Azure Active Directory to authenticate to key vault, run the following command:

curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -H Metadata:true -s

Dane wyjściowe:Output:

{"access_token":"xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Imk2bEdrM0ZaenhSY1ViMkMzbkVRN3N5SEpsWSIsImtpZCI6Imk2bEdrM0ZaenhSY1ViMkMzbkVRN3N5SEpsWSJ9......xxxxxxxxxxxxxxxxx","refresh_token":"","expires_in":"28799","expires_on":"1539927532","not_before":"1539898432","resource":"https://vault.azure.net/","token_type":"Bearer"}

Aby zapisać token dostępu w zmiennej do użycia w kolejnych poleceniach do uwierzytelniania, uruchom następujące polecenie:To store the access token in a variable to use in subsequent commands to authenticate, run the following command:

token=$(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -H Metadata:true | jq -r '.access_token')

Teraz użyj tokenu dostępu, aby uwierzytelnić się w magazynie kluczy i odczytać klucz tajny.Now use the access token to authenticate to key vault and read a secret. Pamiętaj, aby zastąpić nazwę magazynu kluczy w adresie URL (https: / /mykeyvault.vault.azure.net/...):Be sure to substitute the name of your key vault in the URL (https://mykeyvault.vault.azure.net/...):

curl https://mykeyvault.vault.azure.net/secrets/SampleSecret/?api-version=2016-10-01 -H "Authorization: Bearer $token"

Odpowiedź wygląda podobnie do poniższej, pokazując klucz tajny.The response looks similar to the following, showing the secret. W kodzie należy analizujeć te dane wyjściowe, aby uzyskać klucz tajny.In your code, you would parse this output to obtain the secret. Następnie użyj tego tajnego w kolejnej operacji, aby uzyskać dostęp do innego zasobu platformy Azure.Then, use the secret in a subsequent operation to access another Azure resource.

{"value":"Hello Container Instances","contentType":"ACIsecret","id":"https://mykeyvault.vault.azure.net/secrets/SampleSecret/xxxxxxxxxxxxxxxxxxxx","attributes":{"enabled":true,"created":1539965967,"updated":1539965967,"recoveryLevel":"Purgeable"},"tags":{"file-encoding":"utf-8"}}

Przykład 2: używanie tożsamości przypisanej przez system do uzyskiwania dostępu do usługi Azure Key VaultExample 2: Use a system-assigned identity to access Azure key vault

Włączanie tożsamości przypisanej przez system w grupie kontenerówEnable system-assigned identity on a container group

Uruchom następujące polecenie az container create, aby utworzyć wystąpienie kontenera na podstawie obrazu firmy azure-cli Microsoft.Run the following az container create command to create a container instance based on Microsoft's azure-cli image. Ten przykład zawiera grupę z jednym kontenerem, za pomocą których można interaktywnie uruchamiać interfejs wiersza polecenia platformy Azure w celu uzyskania dostępu do innych usług platformy Azure.This example provides a single-container group that you can use interactively to run the Azure CLI to access other Azure services.

Parametr bez dodatkowej wartości umożliwia przypisaną przez system tożsamość --assign-identity zarządzaną w grupie.The --assign-identity parameter with no additional value enables a system-assigned managed identity on the group. Zakres tożsamości jest ograniczony do grupy zasobów grupy kontenerów.The identity is scoped to the resource group of the container group. Długotrwałe polecenie utrzymuje działanie kontenera.The long-running command keeps the container running. W tym przykładzie użyto tej samej grupy zasobów, która jest używana do utworzenia magazynu kluczy, który znajduje się w zakresie tożsamości.This example uses the same resource group used to create the key vault, which is in the scope of the identity.

# Get the resource ID of the resource group
rgID=$(az group show --name myResourceGroup --query id --output tsv)

# Create container group with system-managed identity
az container create \
  --resource-group myResourceGroup \
  --name mycontainer \
  --image mcr.microsoft.com/azure-cli \
  --assign-identity --scope $rgID \
  --command-line "tail -f /dev/null"

W ciągu kilku sekund powinna pojawić się odpowiedź z interfejsu wiersza polecenia platformy Azure, wskazująca ukończenie wdrażania.Within a few seconds, you should get a response from the Azure CLI indicating that the deployment has completed. Sprawdź jego stan za pomocą polecenia az container show.Check its status with the az container show command.

az container show \
  --resource-group myResourceGroup \
  --name mycontainer

Sekcja w danych wyjściowych wygląda podobnie do poniższej, co pokazuje, że tożsamość przypisana przez system jest tworzona w identity Azure Active Directory:The identity section in the output looks similar to the following, showing that a system-assigned identity is created in Azure Active Directory:

[...]
"identity": {
    "principalId": "xxxxxxxx-528d-7083-b74c-xxxxxxxxxxxx",
    "tenantId": "xxxxxxxx-f292-4e60-9122-xxxxxxxxxxxx",
    "type": "SystemAssigned",
    "userAssignedIdentities": null
},
[...]

Ustaw zmienną na wartość principalId (identyfikator jednostki usługi) tożsamości do użycia w kolejnych krokach.Set a variable to the value of principalId (the service principal ID) of the identity, to use in later steps.

spID=$(az container show \
  --resource-group myResourceGroup \
  --name mycontainer \
  --query identity.principalId --out tsv)

Udzielanie grupie kontenerów dostępu do magazynu kluczyGrant container group access to the key vault

Uruchom następujące polecenie az keyvault set-policy, aby ustawić zasady dostępu w magazynie kluczy.Run the following az keyvault set-policy command to set an access policy on the key vault. Poniższy przykład umożliwia tożsamości zarządzanej przez system uzyskiwanie wpisów tajnych z magazynu kluczy:The following example allows the system-managed identity to get secrets from the key vault:

 az keyvault set-policy \
   --name mykeyvault \
   --resource-group myResourceGroup \
   --object-id $spID \
   --secret-permissions get

Uzyskiwanie klucza tajnego z magazynu kluczy przy użyciu tożsamości grupy kontenerówUse container group identity to get secret from key vault

Teraz możesz użyć tożsamości zarządzanej, aby uzyskać dostęp do magazynu kluczy w uruchomionym wystąpieniu kontenera.Now you can use the managed identity to access the key vault within the running container instance. Najpierw uruchom powłokę Bash w kontenerze:First launch a bash shell in the container:

az container exec \
  --resource-group myResourceGroup \
  --name mycontainer \
  --exec-command "/bin/bash"

Uruchom następujące polecenia w powłoce bash w kontenerze.Run the following commands in the bash shell in the container. Najpierw zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu tożsamości zarządzanej:First log in to the Azure CLI using the managed identity:

az login --identity

Z uruchomionego kontenera pobierz klucz tajny z magazynu kluczy:From the running container, retrieve the secret from the key vault:

az keyvault secret show \
  --name SampleSecret \
  --vault-name mykeyvault --query value

Zostanie pobrana wartość tajnego:The value of the secret is retrieved:

"Hello Container Instances"

Włączanie tożsamości zarządzanej przy użyciu Resource Manager szablonuEnable managed identity using Resource Manager template

Aby włączyć tożsamość zarządzaną w grupie kontenerów przy użyciu Resource Manager szablonu, ustaw właściwość identity obiektu za pomocą obiektu Microsoft.ContainerInstance/containerGroups ContainerGroupIdentity .To enable a managed identity in a container group using a Resource Manager template, set the identity property of the Microsoft.ContainerInstance/containerGroups object with a ContainerGroupIdentity object. Poniższe fragmenty kodu pokazują właściwość identity skonfigurowaną dla różnych scenariuszy.The following snippets show the identity property configured for different scenarios. Zobacz informacje Resource Manager szablonie.See the Resource Manager template reference. Określ wartość apiVersion minimalną 2018-10-01 .Specify a minimum apiVersion of 2018-10-01.

Tożsamość przypisana przez użytkownikaUser-assigned identity

Tożsamość przypisana przez użytkownika jest identyfikatorem zasobu formularza:A user-assigned identity is a resource ID of the form:

"/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}"

Możesz włączyć co najmniej jedną tożsamość przypisaną przez użytkownika.You can enable one or more user-assigned identities.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "myResourceID1": {
            }
        }
    }

Tożsamość przypisana przez systemSystem-assigned identity

"identity": {
    "type": "SystemAssigned"
    }

Tożsamości przypisane przez system i użytkownikaSystem- and user-assigned identities

W grupie kontenerów można włączyć zarówno tożsamość przypisaną przez system, jak i co najmniej jedną tożsamość przypisaną przez użytkownika.On a container group, you can enable both a system-assigned identity and one or more user-assigned identities.

"identity": {
    "type": "System Assigned, UserAssigned",
    "userAssignedIdentities": {
        "myResourceID1": {
            }
        }
    }
...

Włączanie tożsamości zarządzanej przy użyciu pliku YAMLEnable managed identity using YAML file

Aby włączyć tożsamość zarządzaną w grupie kontenerów wdrożonej przy użyciu pliku YAML,uwzględnij następujący kod YAML.To enable a managed identity in a container group deployed using a YAML file, include the following YAML. Określ wartość apiVersion minimalną 2018-10-01 .Specify a minimum apiVersion of 2018-10-01.

Tożsamość przypisana przez użytkownikaUser-assigned identity

Tożsamość przypisana przez użytkownika jest identyfikatorem zasobu formularzaA user-assigned identity is a resource ID of the form

'/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.ManagedIdentity/userAssignedIdentities/{identityName}'

Możesz włączyć co najmniej jedną tożsamość przypisaną przez użytkownika.You can enable one or more user-assigned identities.

identity:
  type: UserAssigned
  userAssignedIdentities:
    {'myResourceID1':{}}

Tożsamość przypisana przez systemSystem-assigned identity

identity:
  type: SystemAssigned

Tożsamości przypisane przez system i użytkownikaSystem- and user-assigned identities

W grupie kontenerów można włączyć zarówno tożsamość przypisaną przez system, jak i co najmniej jedną tożsamość przypisaną przez użytkownika.On a container group, you can enable both a system-assigned identity and one or more user-assigned identities.

identity:
  type: SystemAssigned, UserAssigned
  userAssignedIdentities:
   {'myResourceID1':{}}

Następne krokiNext steps

W tym artykule opisano tożsamości zarządzane w Azure Container Instances oraz sposób:In this article, you learned about managed identities in Azure Container Instances and how to:

  • Włączanie tożsamości przypisanej przez użytkownika lub przypisaną przez system w grupie kontenerówEnable a user-assigned or system-assigned identity in a container group
  • Udzielanie dostępu tożsamości do usługi Azure Key VaultGrant the identity access to an Azure key vault
  • Uzyskiwanie dostępu do magazynu kluczy z uruchomionego kontenera przy użyciu tożsamości zarządzanejUse the managed identity to access a key vault from a running container